के लिए हल्के वेब प्रमाणीकरण मैं थोड़ा गूढ़ परियोजना पर काम कर रहा हूं जहां हमें एक छोटे/धीमी एम्बेडेड माइक्रो (कोई ओएस) में कुछ बुनियादी प्रमाणीकरण को लागू करने की आवश्यकता नहीं है। डिवाइस अपने सीरियल पोर्ट के माध्यम से कुछ वेब पेजों परोसता है जो तब आईपी नेटवर्क पर थोड़ा हार्डवेयर द्वारा स्क्वायर हो जाते हैं, जिन पर हमारा कोई नियंत्रण नहीं होता है।एम्बेडेड सिस्टम
सर्वर कोड, जैसे कि यह है (लगता है कि nweb भुखमरी आहार पर), HTTP GET/POST अनुरोधों में लेता है और पृष्ठों को & के अनुसार अपनी सेटिंग्स बदलता है।
हमें उपयोगकर्ता लॉगिन/सत्र प्रमाणीकृत करने का कोई तरीका चाहिए ताकि हम लोगों को डेटा देखने या उन सेटिंग्स को बदलने की अनुमति न दें जिन्हें उन्हें नहीं करना चाहिए।
डिवाइस का उद्देश्य सीधे इंटरनेट से संपर्क नहीं करना है या गंभीर हैकिंग (नेटवर्क सुरक्षा/अलगाव ग्राहक की समस्या *) के लिए 100% अपरिवर्तनीय होना है, इसलिए सुरक्षा की आवश्यकता निचले रैंक को ब्लिंकेंलाइट्स को छूने से रोकने के बारे में अधिक है ;)
अंतरिक्ष/प्रसंस्करण शक्ति की कमी के कारण (मान लें कि हमारे पास कोड स्थान की ~ 2k है और कई मेगाहर्ट्ज नहीं है) हम एसएसएल जैसी चीजों को लागू नहीं कर सकते हैं, लेकिन कम से कम एक बेहतर जाना अच्छा होगा बोग मानक HTTP access control।
हम जीईटी, पोस्ट और कुकी डेटा सेट/सेट कर सकते हैं। हमारे माइक्रो में एक चीज एक सभ्य क्रिप्टो-मानक हार्डवेयर यादृच्छिक संख्या जेनरेटर है, क्या यह किसी भी मदद की होनी चाहिए।
- = वास्तव में ग्राहकों को अपने नेटवर्क पर डिवाइस को लटकाना चाहिए, शारीरिक रूप से डिस्कनेक्ट किया जाना चाहिए या कम से कम किसी अन्य चीज़ से फायरवॉल किया जाना चाहिए। लेकिन हे, अगर यह बोइंग के लिए काम करता है ...