有哪些好的建议或资源可以帮助我确保单击基于URL的身份验证?
基本上,情况是第三方系统通过浏览器接受HTTPS请求,您可以在其中提供身份验证信息(un,pw,authkey等...)。然后,该服务在验证提供的凭证时将允许或拒绝登录访问。关键是,如果有人点击该链接,他们将自动被授予访问该第三方系统的权限。
目前,整个过程并没有太大的安全性(这不是一个大问题,因为产品尚未投入生产),第三方愿意进行一些修改以保证这一点。一点点。
我已经确定我需要对信息进行哈希处理,甚至可能通过POST提交它以防止它在浏览器历史记录中显示信息。但我想对你们如何处理这样的事情提出一点意见。
[编辑:请求将继续通过HTTPS发送。我还修改了之前用过的HTTP的HTTP]
答案 0 :(得分:9)
不要考虑“确保这一点”。它要么是从头开始安全的,要么是它会让你付出沉重的代价。
请看HTTP Digest Authentication。它简单,可靠,在大多数情况下都能很好地工作。
查看OWASP.org前10个漏洞。请务必了解并解决每个问题。
答案 1 :(得分:1)
您应该使用HTTPS来避免在传输到第三方Web服务器时被窃听的凭据。
答案 2 :(得分:1)
保护自己免受使用陈旧链接访问应用程序的权限。使链接取决于当前时间值