好的,这可能是一个非常绿色的问题,可能主要是关于网站安全性。
好的,我有一个网站上有一个.xml文件。用户应该只能通过某种身份验证访问此网站(因为他们通过应用程序购买购买了访问权限)我不是在这里要求代码或任何东西,我应该查看什么?它不是专用服务器,只是一个普通的老网站(托管one.com)
答案 0 :(得分:1)
您可以做几件事,具体取决于您希望在努力和安全方面进行权衡。
这是最简单的解决方案。您只需将随机密钥添加到XLS的URL。例如:http://yourserver.com/lirhmlihxiuhdgrmiurtokucdt/file.xls
Pro:非常简单,会阻止随机用户查找XLS
Con:该链接可以轻松共享。
这稍微复杂一些。根据您的实施,您可以保护最终用户的身份验证凭据。
Pro:易于实施。
Con:基本身份验证仍然可以让精通技术的用户轻松嗅探。
创建一个需要应用程序或用户进行身份验证的登录和会话系统。为每次购买提供个人凭证。
专业:体面的安全。相对直接实施。
Con:仍可以共享XML文件。如果攻击者设法提取凭据,其他用户可能会下载相同的文件。
将XML下载集成到您的iAP流程中。从用户获取事务令牌并在服务器上验证它。只有在购买合法时,才允许下载XML文件。将文件本地存储在手机上以备将来访问。
专业版:如果您想确保该文件仅供付费客户使用,则是最安全的解决方案。
Con:相对难以实施。但是,iAP指南包含良好的文档。
您需要什么取决于您希望以实现措施所需的时间(和成本)进行权衡,以及规避的安全性带来的预期收入损失。