0
したがって、認証ヘッダーを使用せずにこのログインシステムを設定しました。代わりに、私はHTTPリクエストの本文を介してデータを転送し、そのデータを確認してから、ユーザーに個人アカウントへのアクセスを許可します。アイデアはモバイルでアクセスできるAJAXのフレンドリーなAPIを作成することでした。ユーザー基本認証なしのHTTPログイン
ヘッダー経由で認証を提供しないことで何か問題はありますか?
A
答えて
1
私はこのアプローチで考えられる問題を見ています。
あなたのウェブサイトにXSSの脆弱性があるとしましょう。セッションIDを持つ認証Cookieがある場合、HTTPのみとしてフラグを立てることができ、攻撃者はjavascriptを介してそのセッションIDを取得することができません。しかし、HTML本体にその情報を格納しているので、攻撃者は完全にアクセス可能です。彼は身体からその情報を取得し、悪意のあるサーバーに送信し、実行するだけで、ユーザーを偽装することができます。
クッキーを作成しないようにしたのは、主にモバイルネイティブアプリケーションにCookieがないためです。OAuthをご覧ください。これにより、生成するトークンを使用してユーザーを認証することができ、その寿命について完全な制御が可能になります。 APIコンシューマはトークンを要求するだけで済みます。その後、トークンを送信して認証リクエストを送信する必要があります(そのトークンが期限切れになるまで、新しいトークンをリクエストする必要があります)。
関連する問題
- 1. HTTP/HTTPS基本認証:ユーザー名のコロン
- 2. GowallaのHTTP基本認証?
- 3. symfony httpユーザ認証なしのdev環境の基本認証
- 4. CORSとHTTP基本認証
- 5. HTTP基本認証メカニズム
- 6. 基本HTTP認証ゴー
- 7. NodeJs HTTPプロキシ基本認証
- 8. 基本認証http-builder-ng
- 9. ルーメンHTTP基本認証
- 10. iPhoneでの基本的なHTTP認証
- 11. zappierコードの基本的なhttp認証
- 12. AngularJS - $ http経由のHttp基本認証
- 13. EventSourceと基本的なhttp認証
- 14. API用laravel5.1基本的なhttp認証
- 15. スプリングセキュリティ:httpの基本ログインとフォームログインによる認証
- 16. Scala Lift:フォームベースのログインとHTTP基本認証による統一認証?
- 17. PHP/Symfonyの基本的なhttp認証の認証
- 18. 基本認証を使用したHTTP
- 19. IISのWCF、httpの基本認証 - Windowsユーザーの "セキュリティ"の意味
- 20. Rails複数のユーザーのhttp基本認証?
- 21. Rails HTTPの基本認証の失敗
- 22. XCODE iPhoneの基本認証のHTTPヘッダー
- 23. 特定のドメインのHTTP基本認証
- 24. JMeterのオプションのHTTP基本認証
- 25. LWP :: UserAgentのHTTP基本認証
- 26. Regex for HTTP URLの基本認証
- 27. URLベースのHTTP基本認証
- 28. デベジット上のHTTP基本認証
- 29. web apiで基本認証でログイン
- 30. Laravel 5.5基本認証ログイン例外
ブラウザでこれを行うことを望まない場合は、問題はありません。しかし、あなたがしたい場合は、このようにbeforeSendを追加するhttps://stackoverflow.com/questions/5507234/how-to-use-basic-auth-with-jquery-and-ajax – PSo