【发布时间】:2013-04-16 14:09:17
【问题描述】:
我遇到了一些奇怪的情况。
我的团队必须开发的 MVC Web 系统(或使用 Rails 制作的项目)将依赖于其他站点的登录名/密码。
这个想法是,用户将在第三方网站上登录,并且在相关的地方,将存在指向我们网站的链接。当用户点击该链接时,我们需要从网站接收用户的一些数据。
我们无法控制第三方服务器,也无法直接访问他们的数据库。另外,对他们的应用程序/基础设施进行任何更改是一件大事,所以我正在寻找一个影响较小的解决方案。 (当然他们会改变一些东西,但会是一个政治问题,所以越少越好)
从我们的角度来看,我们需要确保用户确实来自第三方网站(并且仅来自那里),并且我们没有收到来自攻击者的虚假消息。
他们的网站有一个有效的 SSL 证书。 (不知道我的系统是否会有一个(应该)) 不确定它是否相关,但我们认为他们的服务器是一个 oracle 应用程序服务器,它连接到其内部网络中的一个 oracle 服务器。
我最初想到只使用 SSL,但我不知道该怎么做(我必须检查什么,我必须改变什么?)以及是否足够安全。
我的第二个想法是使用 PGP 密钥,然后在发送给我们之前对数据进行唱歌和加密,并且,我们网站的链接将发布到我们服务器上的控件,该控件将验证和解密数据。
任何人有任何可以帮助我的提示/指针/想法吗?
【问题讨论】:
标签: ruby-on-rails model-view-controller security data-exchange