我们有超过100个客户端站点在公共代码库上运行,这些都是唯一的域。我们想介绍利用敏感用户信息的高级功能。这会带来商业问题:
现在,重要的是要意识到这里没有任何东西是我的号召。我是工程师,而不是高级决策者,所以我想假设以上3种情况都不好(虽然我会介绍它们)。
我是否可以利用身份验证方案来保护没有SSL的敏感API,或者我运气不好?
我提出的一个解决方案是在我们的主站点上设置登录页面,该页面确实有SSL,并且正在收听yay或nay的回调。这是一个不冷不热的招待会!所以非常欢迎任何非iframe答案!
答案 0 :(得分:2)
我是否可以利用身份验证方案来保护没有SSL的敏感API,或者我运气不好?
你运气不好,任何在没有SSL的情况下通过电汇发送的内容实际上是可以渗透的。你可能会让某人真正成功地用他们提取的信息成功地进行攻击,但总而言之,这一切都可能会回来并咬你。
通常使用API,最好的方法是实现某种基于令牌的身份验证,但是,如果没有SSL(除非您在物理身份验证和移交这些令牌),否则必须 some 通过网络发送的一些敏感信息,这就是问题所在。
为您的网站提供SSL证书我认为您根本不需要客户端证书(除非是业务要求)。我认为没有理由不能仅在HTTPS上访问私有API调用,并使用户随每个请求一起发送身份验证详细信息。