【发布时间】:2011-12-06 09:02:13
【问题描述】:
我的插件的流程如下图所示:
要求是使onclick 事务在身份验证后发生。也就是说,只有包含page.html 的域的所有者已经在我的站点注册(例如www.MyPluginJS.com/register)才能使用MyPlugin.js。
我的注册门户在成功申请后吐出Client ID。
我的问题是:
- 为了使
onclick交易安全,我需要使用什么最佳方法? - 为了确保交易安全进行,我可能需要哪些其他参数(例如:MD5 指纹)?
- 是否有任何我可以利用的现有框架(例如 OAuth)?
我需要一种方法来阻止未注册的人使用 MyPlugin.js。
我对安全技术缺乏经验,但我可以编写代码。
提前致谢:)
【问题讨论】:
-
真正谈论 javascript 的安全性是不现实的 - 我会根据您获得的任何身份验证令牌找到一种方法来允许/阻止从服务器端访问该 .js 文件...
-
@Leon 感谢您抽出宝贵时间 :) 我如何阻止对 .js 文件的访问??
-
您确实需要将业务逻辑包装到服务器中。任何 javascript 都会被暴露。任何人都可以复制您的 javascript 文件并在本地提供它,请记住,如果愿意,任何人都可以使用控制台手动调用任何 javascript 函数。 Javascript 使事情在客户端很好地工作,但任何重要的事情都必须发生在服务器端,你必须始终清理来自 javascript 插件的任何输入。
标签: javascript authentication plugins security