Question

Мой плагин имеет потоки, изображенные на диаграмме ниже:

MyPlugin.js flows

Требуется, чтобы транзакция onclick происходила после аутентификации. Таким образом, только если владелец домена, который содержит page.html, зарегистрировался на моем сайте (например, www.MyPluginJS.com/register), он может использовать MyPlugin.js.

Мой портал регистрации выдает Client ID после успешной перерегистрации.

Мой вопрос:

Какой наилучший подход мне нужен для обеспечения безопасности транзакции onclick?
Какие другие параметры (например, отпечаток MD5) мне могут потребоваться для обеспечения безопасности транзакции?
Существуют ли какие-либо фреймворки (например, OAuth), на которые я могу опираться?

Мне нужен способ запретить пользователям использовать MyPlugin.js, которые еще не зарегистрированы.

Я неопытен в технике безопасности, но мне удается писать код.

Заранее спасибо:)

Billy Moon · Answer 1 · 06 февраля 2012

Я думаю, что вы должны использовать session, созданный на стороне сервера, чтобы убедиться, что пользователь вошел в систему. Затем вы можете проверить на стороне клиента (для удобства пользователя), установлена ли переменная сеанса, и затем проверить сторону сервера сеанса(для безопасности), чтобы избежать вмешательства пользователя в код на стороне клиента.

Затем вы можете использовать AJAX для загрузки содержимого страницы плагина в iframe.jQuery делает AJAX намного проще в управлении.

Поэтому мой простой ответ - использовать сценарии на стороне сервера и переменные сеанса для обеспечения безопасности, а JQuery и AJAX на стороне клиента для удобства пользователя.

Roberto Linares · Answer 2 · 05 февраля 2012

Используя jQuery , вы можете воспользоваться функцией $. GetScript (url) для загрузки файла javascript со стороны сервера, избегая использования тега <script>.

Идея состоит в том, чтобы направить функцию getScript на серверный сценарий, который сначала проверит сеанс вашего пользователя, а в случае, если сеанс действителен, он вернет содержимое вашего файла javascript для загрузки или файл vavascript javascript в противном случае.

Sara Chipps · Answer 3 · 05 февраля 2012

Я видел, как некоторые люди использовали дату / время на своем веб-сервере для создания уровня безопасности, подобного тому, что упоминает @Michi.Я лично не пробовал это, однако.

Michi · Answer 4 · 06 декабря 2011

Вы можете обслуживать файл JS, используя некоторый язык на стороне сервера, и добавить пару ключ / значение в запрос для файла js, pe: MyPlugin.js? Key = someValue.Ваш скрипт может сравнивать это значение с некоторыми значениями таблицы БД, где вы храните авторизованных пользователей.

HTH, Miguel

Какой метод безопасности лучше всего подходит для моего плагина javascript?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 4 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Какой метод безопасности лучше всего подходит для моего плагина javascript?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 4 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов