Как мое основное веб-приложение (A) должно безопасно получать данные из моего веб-приложения для хранения контента (B)?

Question

У меня есть два веб-приложения (A) и (B).

(A) - мое основное веб-приложение.

(B) предназначен исключительно для хранения контента, например, для загрузки файлов пользователями (A).

Каков наилучший способ безопасного извлечения данных из (B) в (A), но таким образом, чтобы не подвергать данные в (B) потенциальному открытию третьими лицами через общедоступный Интернет или любопытных пользователей (A)

Например, если я использую форму HTML POST из (A) в (B) для извлечения пользовательских данных, и у меня есть скрытое поле формы с именем user_id=1, тогда кто-то может просто изменить это значение на user_id=2 и посмотреть контент, принадлежащий другому пользователю приложения. Это было бы проблемой.

Answer 1

Возможно, вам следует рассмотреть базовую аутентификацию (имя пользователя / пароль) для аутентификации пользователей.Система (A) затем использует имя пользователя и пароль для аутентификации в системе (B).

Чтобы защитить имя пользователя и пароль (которые являются частью HTTP-запроса), используйте HTTPS .В противном случае эти данные будут отправлены в виде открытого текста.

Answer 2

Вы можете использовать Oauth http://oauth.net/

http://apiwiki.twitter.com/OAuth-FAQ

http://oauth.rubyforge.org/

Answer 3

Я полагаю, вы смешиваете понятия. Доступ к данным - это одно, а URL-адреса, которые предоставляют пользователю доступ, - это другое. Вы должны описать проблему дальше, мы даже не знаем, используют ли эти приложения базу данных.

Answer 4

если у вас где-то есть задняя база данных, вы можете использовать ее для проверки прав доступа запрашивающего пользователя (также, я полагаю, зависит от типа пула соединений, который вы используете).