【发布时间】:2017-01-20 11:04:30
【问题描述】:
我正在尝试找到一种安全的方法来允许我的 Node.js 应用程序 (N) 的登录用户在 PHP (P) 上上传/删除文件仅在他们自己的文件夹中服务器在不同的域上。
专家能否告诉我以下方法是否相当安全?
- N: 用户登录时,在 Node 服务器上根据用户 ID 生成一个令牌,并用密码对其进行加盐
- 通过 https 向 PHP 服务器发送加密令牌
- P: 用已知秘密解密令牌并将其保存在有效用户 ID 的数据库表中
-
- N: 在文件上传/删除文件请求时,通过 https 向 PHP 服务器发送文件/删除请求 + 加密令牌
-
P:用已知秘密解密令牌并检查它是否在有效用户ID的数据库表中
如果是,允许在文件夹“userID”内进行写/删除操作
如果否,则向 Node 应用发送错误消息
我的想法是,这会起作用,因为我们用于加盐的秘密只有 Node 服务器和 PHP 服务器知道,任何通过网络发送的东西对潜在的攻击者来说都是没有用的。
如果有人能确认或指出我遗漏了什么,将不胜感激。
【问题讨论】:
标签: php node.js security encryption server