Безопасность для Instapaper-подобного букмарклета

Question

Я пытаюсь сделать букмарклет, который делает что-то похожее на то, что делает Instapaper.Мне нужен букмарклет для отправки URL страницы, которую посещает пользователь, и токена пользователя (поэтому сервер идентифицирует пользователя).Как это может быть сделано?Вы рекомендуете отправлять запрос POST или, скорее, путем маршрутизации URL (например, http://example.com/USER_TOKEN/URL)?

Кроме того, мне нужно беспокоиться о краже токена пользователя?Если так, как я могу справиться с этим?

Answer 1

нужно ли мне беспокоиться о краже токена пользователя

Поскольку все, что вы передаете по обычному HTTP, в основном является незашифрованным обычным текстом, да, вам нужно беспокоиться о том, что токенукрадено.

Что еще важнее для меня, так это то, что включение токена пользователя в ваш букмарклет выглядит довольно хакерски:

1. Что делать, если машина используется несколькими пользователями A, B иC?
2. Пользователи A и B используют ваш сервис?Отдельные букмарклеты

Я хотел бы предложить что-то по следующемулинии:

• Отправьте URL-адрес в маршрут GET (, если вы сильно заинтересованы в производительности ) или POST (, если вы хотите получить правильный CRUD ).
• На стороне сервера: проверьте, существует ли пользовательский сеанс (очевидно, с помощью файлов cookie).
  • Если это так, обработайте свои данные, отправьте обратный вызов при успехе как JSONP.
  • Если нет, отправьте обратный вызов по ошибке как JSONP, который вызывает всплывающее окно / всплывающее окно «Пожалуйста, войдите в систему».

Дополнительные очки начисляются за штуку "Пожалуйста, войдите в систему", запоминая URL-адрес, который пользователь пытался сохранить, поэтому ему не нужно повторно отправлять после входа в систему.