Ben üzerinde çalışıyorum bir javascript uygulaması güvenli yollarını araştırma yapıyorum. Uygulama arka uç olarak APE (Ajax İtme Motoru) kullanan bir sohbet istemcisi.

Şu anda, herkes sayfaya erişmek ve APE sunucuya GET / POST isteği yapabilirsiniz. Ben sadece kayıtlı kullanıcılar sohbet müşteri hizmet etmek istiyorum, ve ben sadece kendi istekleri kabul edilecektir emin olmak istiyorum. Ben bir kullanıcı sayfası sunmak için PHP ile kullanıcı adı / parola kimlik doğrulaması kullanabilirsiniz. Onlar sayfa var ama bir kez, javascript değiştirerek veya yanlış ellere izin onları durdurmak için ne var?

Bir istemci / sunucu uygulaması güvenliğini sağlamak için bu yöntem umut verici görünüyor: http://abhinavsingh.com/blog/2009/12/how-to-add-content-verification-using-hmac-in-php/

Ben özel anahtarı gönderme bağlı değildir çünkü bu bir javascript istemci için idealdir diyor başka bir kaynak var. Ama bu nasıl olabilir? Yukarıdaki öğretici göre, istemci özel anahtar sağlamak gerekir. Şimdi javascript herkes kullanıcının özel anahtarı bu yana bu çok güvenli görünmüyor. Ben böyle bir şey işe ne anlamak Gönderen:

1. Kullanıcı adı ve şifre ile oturum
2. PHP, kullanıcı adı ve şifre doğrular kullanıcının özel anahtarını arar ve javascript ekler
3. JavaScript (özel anahtar kullanarak) bir imza malzemeleri, ve tüm APE istekleri ile ortak anahtar
4. APE alınan imza hesaplanan imzayı karşılaştırır ve istekleri işlemek için karar verir.

Javascript uygulama özel anahtar farkında olması gerekir nasıl bu kadar güvenli?

Yardımın için teşekkürler!