Ссылка аутентификации на основе URL

Question

На какие полезные предложения или ресурсы стоит обратить внимание, чтобы помочь мне обеспечить аутентификацию на основе URL-адреса одним щелчком мыши?

По сути, ситуация представляет собой стороннюю систему, которая принимает HTTPS-запрос через браузер, где вы предоставляете информацию для аутентификации (un, pw, authkey и т. Д.). После проверки подлинности предоставленных учетных данных служба разрешит или запретит вход в систему. Дело в том, что если кто-то нажимает на ссылку, ему автоматически предоставляется доступ к этой сторонней системе.

В настоящее время безопасность всего процесса не так уж и велика (что не так уж важно, поскольку продукт еще не запущен), и третья сторона готова внести некоторые изменения, чтобы обезопасить его. немного.

Я уже определил, что мне нужно хешировать информацию и, возможно, даже отправить ее через POST, чтобы она не отображала информацию в истории браузера. Но я хотел бы немного рассказать о том, как вы все будете справляться с чем-то вроде этого.

[Редактировать: запросы отправляются и будут отправляться через HTTPS. Я также изменил HTTP, который раньше использовался как HTTPS]

Answer 1

1. Не думайте о том, чтобы "немного поднять это". Он либо защищен с нуля, либо имеет дыры, которые вам дорого обойдутся.

2. Посмотрите на Аутентификация дайджеста HTTP . Это просто, надежно и хорошо работает в большинстве случаев.

3. Посмотрите на OWASP.org Топ-10 уязвимостей. Убедитесь, что вы понимаете и обращаетесь к каждому из них.

Answer 2

Защитите себя от использования устаревшей ссылки, чтобы получить доступ к приложению. Сделать ссылку зависимой от текущего значения времени

Answer 3

Вам, вероятно, следует использовать HTTPS, чтобы избежать перехвата учетных данных при передаче на сторонний веб-сервер.