我有一个组织需要向我发送一组预先设定的非常敏感的数据。我目前的流程如下所示,
该页面需要HTTPS并且只接受POST / PUT请求或重定向
我要做的第一件事是检查两个变量," unique_id_1"和" unique_id_2"。每个变量必须与我数据库中已有的帐户完全匹配。
此时,恶意的人必须首先找到网页,然后必须找出这两个变量的名称,并用正确的匹配数据填充它们。这种情况发生的可能性有多大?
我考虑过添加第三个变量" shared_key"然后与提交者共享一串文本以包含每个PUT / POST请求。这有多大帮助?
我的另一个想法是我们两个人都用预共享密钥写了一个日期。他们发送变量,我将它与我自己的匹配。这样,关键每天都会发生变化。矫枉过正?
基本身份验证怎么样,它是否安全?我目前拒绝并重定向不正确的访问者/数据。似乎要求进行身份验证的网站只会做更多的事情来推迟潜在的黑客程序。
答案 0 :(得分:0)
似乎要求进行身份验证的网站才会这样做 更多的是提示潜在的黑客程序。
这是可怕不实现身份验证的原因。您不需要为整个网站执行此操作,您只需为API端点执行此操作。
如果您的数据是非常敏感的,那么#34;除了HTTPS之外,您可能还需要考虑以下部分或全部内容:
SSLVerifyClient require一样。此外: