所以我有一个网页。该网页使用基本身份验证,oAuth,摘要等访问API。我必须通过某种身份验证将API端点发送到另一个服务。让我们假装它是Facebook OpenGraph API。
为了使用它的API,Facebook向我发出了凭据。我在哪里存储这些凭据以免受外部攻击?我总是把它们放在我的服务器端代码中,就像API文档告诉你的那样。那够安全吗?我并不担心内部滥用,我担心外部攻击。我在哪里放置我的Web应用程序身份验证凭据,用于访问可以免受外部攻击的其他服务?
答案 0 :(得分:1)
看到使用其他几种服务的mashup变得越来越受欢迎。但不幸的是,你真的无法将这些凭据放在一个实际的地方,在那里他们完全免受外部攻击。以下是一些选项:
答案 1 :(得分:0)
如果您担心外部攻击且完全没有安全感,则不应将凭据存储在应用中。将凭据存储在服务器上。您的应用程序应在需要进行身份验证时提示用户提供凭据。
验证后,如果要保留用户的登录状态,请设置cookie,会话cookie在浏览器会话结束时过期或永久cookie不会过期。