【发布时间】:2010-09-19 11:15:46
【问题描述】:
有哪些好的建议或资源可以帮助我保护基于单击 URL 的身份验证?
基本上,这种情况是第三方系统通过浏览器接受 HTTPS 请求,您在浏览器中提供身份验证信息(un、pw、authkey 等...)。然后,该服务在验证提供的凭据后,将允许或拒绝登录访问。关键是,如果有人点击该链接,他们将自动获得访问此第三方系统的权限。
目前,整个过程并没有太多的安全措施,(这没什么大不了的,因为该产品尚未投入生产),第三方愿意进行一些修改以确保这一点涨了一点。
我已经确定我需要对信息进行哈希处理,甚至可能通过 POST 提交它,以防止它在浏览器历史记录中显示信息。但我想谈谈你们将如何处理这样的事情。
[编辑:请求将继续通过 HTTPS 发送。我还修改了之前使用的HTTP是HTTPS]
【问题讨论】:
标签: security http authentication single-sign-on