【发布时间】:2011-08-28 18:26:25
【问题描述】:
大家好。 我正在尝试为 Web 服务创建一个应用商店,但我被困在了安全部分。 appstore 的主要思想是:在已经安装的平台上,用户可以安装主题、皮肤、示例内容或插件。 该过程将像这样进行:
- 在后台,用户会点击安装按钮;
- 使用 ajax,将调用本地服务器的 php 函数,该函数将远程 POST 到主服务器
- 调用包含基于 serialize(array('id'=>$unique_id,'url'=>site_url); 的 mcrypt 密钥 (MCRYPT_RIJNDAEL_128);
- 在远程服务器上检查参数,如果将唯一 ID 分配给远程数据库中的指定 URL,则将发回更新。
- $unique_id 存储在数据库中。用户无权访问 php 文件或无权访问存储在数据库中的密钥。此外,用于加密数组的密钥存储在数据库中。
远程调用是从服务器到服务器的。用户无法直接访问调用参数或调用详细信息。
整个事情有多安全?
【问题讨论】: