嵌入式系统的轻量级Web认证

Question

我正在从事一个稍微深奥的项目，我们需要在一个小型/慢速嵌入式微型（无操作系统）中实现一些基本身份验证。该设备通过其串行端口提供几个网页，然后通过我们无法控制的一些硬件通过 IP 网络喷射。

服务器代码，例如它（想想nweb 的饥饿饮食），接收 HTTP GET/POST 请求并吐出页面并相应地更改其设置。

我们需要某种方式来验证用户登录/会话，以便我们不允许人们查看数据或更改他们不应该更改的设置。

该设备并非旨在直接暴露在互联网上或 100% 无法受到严重黑客攻击（网络安全/隔离是客户的问题*），安全要求更多是为了防止较低级别的人员接触闪光灯； )

由于缺乏空间/处理能力（假设我们有大约 2k 的代码空间并且没有多少 MHz），我们无法实现 SSL 之类的东西，但最好至少比沼泽标准好一个HTTP access control.

我们可以处理 GET、POST 和设置/读取 cookie 数据。我们的 micro 确实有一个不错的加密标准硬件随机数生成器，如果它有任何帮助的话。

• = 实际上，客户应该将设备挂在自己的网络上，与其他任何东西物理断开连接或至少防火墙至死。但是，嘿，如果它适用于波音......

Answer 1

如果您只想防止访问： 每当有 GET 请求时，查找密码的 cookie。 如果未设置 cookie，则发回一个 HTML 登录表单，该表单将密码发送到服务器。 如果服务器使用正确的密码获取 POST 数据，则发回“登录正常”页面，该页面将 COOKIE 设置为密码。然后任何登录的人（显然使用正确的密码）都会在所有未来的 GET 请求中设置 cookie。任何从未登录过的人都会看到登录页面。您可以通过设置两个 cookie 值来“隐藏”它：一个随机数，以及随机数和密码的 XOR。这样，客户端将无法弄清楚 cookie 中的值是什么。如果您进一步使用客户端 IP 对其进行异或运算，客户端将无法将 cookie 复制到其他计算机。服务器将始终能够撤消所有操作并从随机数和其他 cookie 值中找出密码/ip。

如果您想进行简单的加密，您可以在 javascript 中使用 XMLHTTPREQUESTS。让服务器使用简单的 puesdo 随机数生成器（或简单的 XOR 混淆等）加密数据，并让客户端在 javascript 中反向执行相同的操作。您可以让服务器加密除 index.html 之外的每个页面，并且在 index.html 中您可以拥有它，以便它 XMLHTTPREQUESTS javascript 中的其他页面并解密它们，然后使用 innerHTML 或其他方式将内容放入 div。