所以我正在开发一些代表WordPress页面的移动应用程序。 像网页一样工作,然后使用phonegap将其传播到所有移动平台(主要是使用webkit,移动所有功能,并将小网页放到应用程序中) Web是用jQuery / JavaScript / html / css编写的。
我遇到了一些安全问题。原始WordPress网站上的所有数据都是秘密的,只有会员可以从中查看内容。 我需要以JSON格式获取数据。 而且有我的问题。 :)
我可以安装(我确实安装)JSON api,我可以获得我想要的所有数据。但问题是任何人都可以(只需在URL中键入一些“获取”内容(例如:mysite.com/json/get_post/?id=1))。
我需要“保护”这些数据,并且只有在请求它的用户登录时才允许它。
什么是最佳解决方案?
我知道这些东西存在很多安全问题。只有一些加密才有用。但我需要快速简便的解决方案,至少会比仅仅输入网址更难。 :)
我找到了关于oAuth的一些内容,但并没有真正理解使用它的方式。有任何想法吗?任何WordPress插件?什么?
谢谢。 :)
答案 0 :(得分:0)
您所描述的是OWASP A4 - Insecure Direct Object Refernce漏洞。加密并不能解决这个问题,也不是正确的工具。问题是使用访问控制。用户需要登录wordpress安装才能获得此类信息。 Wordpress内置了会话系统,您必须阅读他们的API文档。