के माध्यम से AJAX अनुरोधों को सुरक्षित करना मैं एक वेब ऐप लिख रहा हूं जो AJAX के माध्यम से अनुरोध कर रहा है और उन कॉल को लॉक करना चाहता है। थोड़ा सा शोध करने के बाद, मैं अनुरोध (GUID?) के साथ वापस पारित करने के लिए यादृच्छिक टोकन (स्ट्रिंग) के कुछ रूपों का उपयोग करने पर विचार कर रहा हूं। मेरे एल्गोरिदम के महत्वपूर्ण भाग यहां दिए गए हैं:GUID
- एक जावास्क्रिप्ट चर (जेनरेट सर्वर-साइड) में टोकन असाइन करें।
- इसके अलावा, उस डीबी में टोकन स्टोर करें और इसे वैध समय अवधि दें (यानी 10 मिनट)।
- यदि टोकन अभी भी उपयोग नहीं किया गया है और इसकी वैध समय विंडो में है, तो कॉल को अनुमति दें।
- वैध होने पर अनुरोधित जानकारी लौटाएं, अन्यथा, अनुरोध लॉग करें और इसे अनदेखा करें।
सुरक्षा की ओर नजर रखने के साथ, क्या यह समझ में आता है? टोकन के लिए, एक GUID काम करेगा - क्या यह कुछ और होना चाहिए? अनुरोध में चर को एन्क्रिप्ट करने का कोई अच्छा तरीका है?
संपादित करें:
मैं समझता हूँ कि इन AJAX अनुरोध सही मायने में "सुरक्षित" लेकिन मैं अर्थ में बुनियादी सुरक्षा जोड़ने के लिए है कि मैं सेवा मैं इरादा उपयोग करने से रोकने के लिए करना चाहते चाहते हैं नहीं होगा लिखना। यह यादृच्छिक टोकन अपमानजनक कॉल के खिलाफ एक बुनियादी, फ्रंट लाइन रक्षा होगी। जिस डेटा से अनुरोध किया जाएगा (और इस तरह के डेटा उत्पन्न करने के लिए भी सबमिट किया गया है) को बार-बार दोहराने की संभावना नहीं है।
शायद मैं एक GUID का उपयोग करने में गलत हूं ... यादृच्छिक रूप से जेनरेट की गई स्ट्रिंग (टोकन) के बारे में कैसे?
मेरा झुकाव यह है कि आप ठीक उसी बारे में बात कर रहे हैं जो मैं कर रहा हूं। क्या आप विस्तृत कर सकते हैं और संभवतः कुछ लिंक शामिल कर सकते हैं? सहायता के लिए धन्यवाद! – Aaron
अपनी खुद की लाइब्रेरी का उपयोग करके मैं तारों को एन्क्रिप्ट कर सकता हूं, और इसके दिल में यह वही है जो मैं बात कर रहा हूं। आप समझते हैं कि मेरा क्या मतलब है ... क्या आपको लगता है कि मेरा अहंकार पीछा करने लायक है? यदि हां, तो यादृच्छिक अनुक्रम उत्पन्न करने के लिए आप एक अलगाव के रूप में क्या सुझाव देते हैं, या आप अन्य विकल्पों का सुझाव देते हैं? – Aaron
@Aaron ने एक अपडेट जोड़ा, यह एन्क्रिप्ट नहीं करने वाली जानकारी पर हस्ताक्षर करने का एक परिदृश्य है, मुझे लगता है कि आप अपनी लाइब्रेरी में कस्टम क्रिप्टोग्राफी नहीं कर रहे हैं। अनुरोध की पहचान करने की जानकारी यादृच्छिक नहीं है, क्योंकि यह हस्ताक्षरित है। – eglasius