मुझे यकीन नहीं था कि इस सवाल को कैसे वाक्यांशित किया जाए, इसलिए अग्रिम रूप से क्षमा करें यदि यह किसी और चीज का डुप्लिकेट है।स्ट्रिंग आधारित प्रोटोकॉल सुरक्षा की मूल बातें
मैं यह जानना चाहता था कि मैंने अपने मुड़ वाले आधारित एप्लिकेशन को कैसे सुरक्षित किया है और मुझे लगता है कि मैंने इसमें अच्छा काम किया है, लेकिन यह एक दशक से अधिक हो गया है क्योंकि मैंने कुछ भी लिखा है जो कच्चे या प्रबंधित सॉकेट का उपयोग करता है।
प्रमाणीकरण लेन-देन: ग्राहक जोड़ता है और तुरंत एक चुनौती प्रतिक्रिया एक 16 वर्ण हेक्स तार के साथ वापस भेज दिया जाता है। ग्राहक पक्ष उपयोगकर्ता नाम & पासवर्ड लेता है, पासवर्ड sha1 (नमक + sha1 (पासवर्ड) परिवर्तित किया जाता है और प्रमाण पत्र सर्वर पर वापस {उपयोगकर्ता नाम, पासवर्ड} के रूप में भेजा जाता है। सर्वर की तरफ, प्रमाणीकरण मानक लुकअप पैटर्न करता है (यदि उपयोगकर्ता मौजूद है और इनपुट के बराबर पासवर्ड है तो अनुदान दें)।
& उपयोगकर्ता ग्राहक के बीच कनेक्शन खो जाता है, तो प्रोटोकॉल वर्ग गंदा के रूप में चिह्नित करता है और उपयोगकर्ता वस्तु से खुद को अलग हो जाता है। इस बिंदु के बाद किसी भी समय, उपयोगकर्ता ऑब्जेक्ट को फिर से एक्सेस करने के लिए, क्लाइंट को नए नमक के साथ प्रमाणीकरण प्रक्रिया दोहराना होगा।
मैं कुछ याद आ रही है? क्या एक चरित्र स्ट्रीम आधारित प्रोटोकॉल के लिए एक बेहतर/अधिक सुरक्षित दृष्टिकोण है?
क्या यह मूल रूप से http://www.ietf.org/rfc/rfc2617.txt डाइजेस्ट प्रमाणीकरण है? –
@ एस।लॉट बहुत करीब बंद है क्योंकि मैंने इसके बाद अपने वर्तमान कार्यान्वयन को आंशिक रूप से मॉडल किया था। – David
@ डेविड: आप इसे पूरी तरह से क्यों उपयोग नहीं कर रहे हैं? आप कूप और क्लाइंट को क्यों छोड़ रहे हैं? –