问题:通过AJAX将敏感数据(最终必须解密)发送到PHP文件的最佳做法。
示例案例:WordPress插件,允许用户输入其API令牌以访问特定的Web服务。令牌将保存到数据库,然后仅由服务器端文件用于API的HTTPS端点。
考虑:
这是人们将在其网站上部署的插件,因此我无法知道他们是否会拥有SSL / HTTPS。
必须对令牌进行加密/解密(而不是散列)并将其保存在服务器上,以便服务器端文件可以使用它来进行API调用。
有问题的服务并没有提供这种服务器端的方法。他们的OAuth令牌在30天后过期,迫使用户每30天重新认证会使用这个插件真的很头疼。
我想注意以纯文本形式在互联网上发送这些令牌,虽然它有点没有SSL的故事,而且说实话并不是那里最敏感的数据,我想尽我所能。
我已经读完了,这就是我的想法:
API令牌输入到WP管理员的表单字段中,使用加密库加密,然后通过AJAX发送到托管在同一服务器上的PHP文件(即:插件的一部分),以及会话现时。
服务器接收密钥,解密,然后与API建立测试连接(API端点使用SSL)。成功返回OK消息,失败返回NOT OK消息并记录。
这里有更好的解决方案吗?