我想拥有两台服务器,服务器A和服务器B.服务器A执行所有身份验证(用户名和密码)。如果用户在服务器A处被认证,则服务器A将发送用户的会话ID,IP地址,用户等的POST数据。服务器B将通过SSL接收所有这些数据,并将信任服务器A并授予用户访问权限。此外,服务器B将仅通过服务器A的IP接受来自服务器A的POST数据。
我的问题是,由于帖子数据是通过curl / ssl发送的,是否可以在流量中截获或被盗?黑客可以用纯文本(这里最重要的组件)查看会话ID吗?
我有什么办法可以提高这种方法的安全性吗?
答案 0 :(得分:10)
您不希望使用PHP实现此功能,因为仅使用Web服务器就可以轻松实现这一点。您的服务器A处理SSL(there is even hardware for that)可以充当Central Authentication Service和Reverse Proxy到服务器B.这是在服务器之间划分责任的常见设置。请研究这些主题。
您可以选择各种解决方案,包括nginx as a reverse proxy或commercial solutions like IBM's WebSEAL等免费解决方案。
是的,当您使用SSL时,它是secure enough(如果有疑问,请购买审核)。
在旁注中,这个问题可能更适合serverfault.com。