OpenID olmadan YADIS kimlik

1 Cevap php

Ben geçerli kimlik doğrulama sistemi müvekkilimin sunucusunun kullandığı ile uyum içinde çalışacak bir kimlik doğrulama sistemi ihtiyacı duyuyorum.

Aşağıdaki gibi mevcut sistemi çalışır:

  • Kimlik doğrulaması gerektiren bir sayfa .htaccess dosyasında bir in-house geliştirilen mod_auth Apache modülü çağırır.

  • Kullanıcı sayfanın içinde bir genel günlüğüne yönlendirilir.

  • Geçerli kimlik girdikten sonra, bir çerez istemci, bir ortak anahtar ve kullanıcı hakkında diğer yararlı bilgi, tüm base64 şifreli IP adresine sahip olduğu, oluşturulur.

  • Bu noktadan sonra kimlik doğrulaması gerektiren herhangi bir sayfa genel anahtarı ve talep IP adresini kontrol eder. Kullanıcının IP değişti, onlar giriş ekranına yönlendirilirsiniz. Çerez tahrif ise, bunlar yönlendirilir.

Yukarıdaki sistemin yararı bir çerez başka bir makinede kullanılamaz olduğunu (aynı LAN üzerindeki başka, ancak diğer tedbirler man-in-the-middle saldırıları karşı kontrol edin) IP adresi maç olmayacak gibi.

Dezavantajı bu yöntem, sunucu tarafı genişletilmiş olmaktan kullanıcının oturumunu engeller olmasıdır. Diğer bir deyişle, bir sunucu tarafı komut dosyası IP adresi aynı değil çünkü kullanıcı adına bilgi alınamıyor.

Bu kullanıcının çerez "çalmakla" dan sunucuyu sağlayan önler gibi bu sınırlama, çoğu koşullar altında mantıklı. Ancak aynı zamanda istekleri her zaman (bir web hizmeti çok sınırlı kullanım AJAX kullanılmadığı sürece) asla istemci sunucunun IP, gelecek beri Web Service, aynı kimlik doğrulama sistemi kullanılarak korunabilir anlamına gelir .

Ne istiyorum web hizmeti sunucusuna çerezi geçmek ve web hizmeti sunucusu doğrudan son kullanıcının müşteri ile çerez orijinalliğini doğrulamak için web hizmeti istemcisi (sunucu tarafı) içindir.

Bu benim temel Stackoveflow gibi siteler denetimi başarısız sürece son kullanıcı dahil olmadan tarayıcı seviyesinde log-in durumunu kontrol etmek için Açık kimliğini nasıl kullanılacağı.

Hızlı wikipedia arama beni dahil temel sistem Yadis adında bir protokol olduğunu anlamak için açar.

Yani ben büyük güvenlik açıkları açık kendim gidiyorum ben bu bulmacanın parçaları varsa eksik ve ediyorsam bilmek istiyorum:

  • Gibi normal kullanıcı günlükleri
  • Sayfa kullanıcı istekleri web hizmeti ihtiyacı
  • Page web servisine kullanıcının kimlik tanımlama geçer
  • Web Servis kullanıcının tarayıcısı ile genel bir "kimlik onaylamak" sayfasını istemek için aynı çerez kullanır. (Kullanıcı olmadan bu görme).
  • "Onayla doğrulama" sayfa mesajı veya tarayıcıda bir "oturum açmış kullanıcı" log-in sayfa ile yeni bir pencere açar döndürür.
  • Yukarıdaki "tüm açık" mesajı aldıktan sonra, web hizmeti kullanıcı oturum açmış olduğu orijinal sayfası tarafından istenen herhangi bir bilgi verir.

Ben herhangi bir detay eksik? Yadis sadece bu fikre bir isim vermek ya da ben emin düzgün çalıştığından emin olmak için bir şey yüklemeniz gerekir?

1 Cevap

Bu yıl içinde farklı şeyler ifade ediyor, çünkü dönem "Yadis" biraz bulanık olabilir, ama fazla bir şey bu protokolün keşif aşamasında ifade eder. İşte bu soruya cevap vardır: given an identifier (like http://keturn.example.com/ veya xri :/ / = keturn * örnek ya da her neyse), bu kullanıcı için kullanımı doğrulama sunucu nedir? Protokolün ne versiyonu destekliyor?

Ki, ben doğru durum okursanız, adres için çalışıyoruz ne hiç değildir.

Eğer tarif Ne, başka bir sunucuda adına hareket etmek bir web hizmeti yetki, OAuth adresi ne demek olduğunu daha etki alanıdır. Eğer müşterinizin şu anda uygulanan kimlik doğrulama protokolü ile sıkışmış iseniz Ama bu da size yardımcı olur emin değilim. Ama bu teklif çözümden farklı değil, muhtemelen bir göz değer.

etiketler