我有 1 个旧网站和另一个新网站。
新站点将作为iframe 嵌入到旧站点中。
在新站点中,我知道在旧站点中注册的用户列表。
我想知道哪个用户正在打开我的页面,注册并登录了旧站点。
在知道它是安全的情况下,将用户名从 HTTP URL 中的旧站点传递到新站点的最佳方法是什么?
我正在考虑将加密数据作为 GET 参数传递,这些数据将在新站点中解密。 该数据将包含用户名、时间戳和盐。在新站点中,我将检查用户名是否在我的注册用户列表中,并且我将授予特定时间的访问权限。这是一种安全的方式吗?
只有 HTTP 没有 SSL。
【问题讨论】:
当您通过 HTTP 传输安全数据时,您应该使用 POST,这不是因为它提供了比 GET 更多的安全性,而是会避免在浏览器历史记录和服务器日志中记录敏感信息。
除了通过 HTTP 发送加密凭据之外,您还可以从中生成某种 Token 并将其传递给可以在接收端进行验证的令牌。
【讨论】:
<script src= 标签加载其内容。令牌是一个很好的举措,因为它可以防止重放攻击(令牌可以在第一次使用后失效)。然而,由于没有使用 SSL,中间人的威胁并未减轻。
对我来说它看起来很安全。您正在将身份验证委托给您的新站点,并且只是向旧站点发出信号。如果你的加密方法是安全的,那应该是安全的。
使用盐和时间戳会处理重放攻击,所以如果你选择安全的加密方法,我看不出你提出的方法有任何漏洞。
【讨论】:
在 GET 请求的 URL 中粘贴用户信息如果加密可能是安全的,它会破坏您的缓存,因为现在同一个页面对于不同的用户有不同的 URL。
对我来说听起来不安全的是,如果两个站点都通过 HTTP 提供服务,那么用户就无法安全地登录到旧站点。所有流量都清晰可见,容易被窃听。
我建议您将两个站点的站点都迁移到 HTTPS。如果站点托管在同一个域上,您可以设置一个 cookie 来标识适用于两个站点的用户。
更好的办法是改用 Facebook 或 Microsoft Live Id 等社交身份验证提供商,并避免将用户密码存储在一起。
【讨论】: