【发布时间】:2011-06-25 00:22:36
【问题描述】:
我将如何保护 JSONP 数据,以便只有某些人可以访问数据?
【问题讨论】:
-
你说的是哪个数据库?
标签: jquery asp.net security json jsonp
【发布时间】:2011-06-25 00:22:36
【问题描述】:
一种更常见的方法是为每个特定的人生成一个 API 密钥,它基本上充当用户名/密码组合。如果您查看 Twitter 等流行的 API 是如何工作的,您就会发现这种机制正在发挥作用。
使用独立于用户常规身份验证的身份验证令牌带来的一大优势是它不能用于完全破坏他们的帐户。因此,如果有人未经授权访问密钥,他们只需登录并请求重新生成他们的密钥。
【讨论】:
-
嗨,戴夫,您的网站 Encosia 的忠实粉丝。问题,您认为 jsonp + 生成的令牌 + 推荐人白名单是一种非常安全的方式吗?我正在研究 Stripe.com,他们也使用一次性身份验证令牌通过客户端进行信用卡交易。我为我的电子商务系统构建了一个原型脚本库,它允许纯 JavaScript 消费者使用上述技术和 postMessage 跨域。需要一次性令牌进行购买和 jsonp 目录数据的白名单。
-
@kitgui.com:请记住,引荐来源标头很容易被欺骗,因此不要将这种特定机制作为安全功能投入太多。对于支付身份验证令牌,我认为最重要的额外考虑因素是仅通过 SSL 返回它们,并且他绝对确定请求站点上没有 CSRF 或 XSS 漏洞。不过,高价值的安全性并不是我的主要专长,因此我可能会忽略其他重要因素。
在 Web 应用程序中,JSON 数据通过通常的 HTTP 请求堆栈传输。因此,您需要一个 HTTPS 连接来确保数据没有被窃听。如果您在保护服务器端数据库之后,这是一个不同的问题。
【讨论】: