通过ssl请求传递凭据是不安全的,什么'是更好的(KISS)解决方案
Is unsecure to pass credentials through a ssl request, what's the better (KISS) solution?
我正在使用couchDB,并开始实现身份验证/授权。我发现最好简单的解决方案是通过ssl连接传递凭据,但我不太确定这种策略是否能确保我的网站真正安全。
我可以保留这个策略,购买一个真正的ssl证书并在生产中部署它吗?
根据我最初的评论,使用SSL传递凭据将确保传输过程中的安全性,因此该方面是有效的。
需要记住的一个更重要的想法是,安全性涵盖了多个层,而这些凭据只是整个系统的一部分。作为一个非常简单的例子,你可以让整个网站运行在人类可用的最安全的加密上,但却充满了SQL注入攻击。
从各个层面考虑"安全",而不仅仅是一个层面。
我会调用_session来获取auth令牌/cookie。然后将其用于后续授权。它将在10分钟后到期,但您可以在配置中增加它。当然,在任何解决方案中,您的"真正的SSL证书"绝对仍然是一个不错的计划:-)
相关文章:
- 更好的解决方案HTML元素幻灯片从右侧CSS转换
- 寻找使用Javascript从Kendo UI时间选择器中减去时间的更好替代方案
- 将数据加载到地图上的更好解决方案
- AngularJS中的动态表单验证 - 是否有更好的解决方案/方法
- 使用Jquery处理大量点击事件的更好解决方案
- 将对象完全转换为键和值的数组:更好的解决方案
- 为静态类型检查注释javascript的好解决方案是什么
- 比“类似回调的行为”更好的解决方案
- setTimeout 是使用 javascript 执行异步函数的好解决方案吗?
- 如何为此 jquery 代码使用函数参数,或者是否有更好的解决方案
- 有没有更好的解决方案
- 谷歌地图API V3,这是将标记捕捉到道路的好解决方案吗?
- 通过ssl请求传递凭据是不安全的,什么'是更好的(KISS)解决方案
- 在数组中查找单元格的更好解决方案
- 改进这个自定义函数addClassIfVarDefined()或共享更好的解决方案
- 卸载/重新加载javascript或用于大量ajax内容的更好的解决方案
- 需要一个更好的解决方案来从JavaScript文件附加HTML
- 标题大小写一个句子 - 哪个解决方案更好,为什么
- Regex从URL中提取匹配的字符串(有效,更好的解决方案?)
- 用于取消约束对象阵列的更好解决方案