Безопасность jQuery и Restful WebServices

Question

У меня есть проект со следующими аспектами:

1. Веб-приложение внешнего интерфейса, выполненное на PHP, jQuery (Ajax) с локальной базой данных для таких аспектов, как аутентификация конечных пользователей и настройка веб-приложения внешнего интерфейса.

2. Back-end REST Web Services (работающие в другом домене и на компьютере, отличном от приложения внешнего интерфейса), вызываемые внешним интерфейсом с использованием методов jQuery и JSONP.

Мне нужно сделать это общение безопасным способом, и я не знаю как. Я надеюсь, что кто-то может помочь мне. Я буду очень, очень благодарен.

Answer 1

Самое простое, что нужно сделать - это обслуживать веб-службы через HTTPS и использовать HTTP Basic в качестве метода аутентификации. Это просто настроить как на клиенте, так и на сервере, и поддерживается большинством интерфейсных и серверных сред.

Если ваш веб-браузер может говорить по HTTPS, Ajax (т.е. XMLHttpRequest) также может говорить по HTTPS. Вы можете легко установить заголовок Authorization в запросах Ajax , и значение может быть построено с помощью base-64 кодировки имени пользователя и пароля, полученных от пользователя веб-приложения .

Answer 2

На этот вопрос нет простого ответа, однако есть несколько методов, которые вы можете использовать в зависимости от ваших конкретных потребностей.

• Для защиты веб-сервисов вы можете аутентифицировать запросы, используя OAuth .
• Никогда не доверяйте ввод на сервер, все дезинфицировать. Подробности здесь .
• Microsoft предлагает обобщенное (например, не основанное на продуктах Microsoft) руководство по созданию защищенных приложений здесь .

Удачи!