В настоящее время я планирую разработать приложение HTML5. Основная концепция заключается в следующем:

Пользователь должен иметь возможность создать профиль с именем пользователя и паролем. Сервер должен быть реализован на Ruby on Rails, обеспечивающем JSONP Api (для междоменных проблем).

Таким образом, приложение будет отправлять запросы Ajax на сервер и получать от него ответы.

Моя идея состояла в том, чтобы теперь передать session_key (сгенерированный сервером) при первом ответе обратно клиенту. Затем клиент должен идентифицировать себя с этим токеном.

Но теперь у меня есть некоторые проблемы.

  • Как я могу обезопасить первый звонок клиента (когда он передает имя пользователя и пароль)?
  • Как я могу защитить Session-ключ от шпионажа?

Я полный нуб в аспектах безопасности. Поэтому было бы здорово, если бы я мог получить некоторые подсказки, где смотреть.

0
Sebastian 31 Янв 2013 в 20:19

2 ответа

Лучший ответ

Защитите свое соединение с помощью SSL. Это не должно требовать никаких изменений в вашем коде, кроме добавления «s» после «http» ;-).

1
Jakub Konecki 31 Янв 2013 в 16:25

Я использовал добавить контрольную сумму к параметрам ajax (рассчитывается с использованием предоставленных данных), а затем зашифровать запрос ajax дырок в одну строку.

Что-то вроде sRequest = 459fdjnfdw4r908vn ....

SRequests содержит мои данные (sUser = user & sPass = pass & iCheck = 34564).

Изменить: мой код клиента не был общедоступным, скомпилирован в приложение.

-2
Ilyssis 4 Фев 2013 в 12:04