我目前正在开发基于
AJAX的站点的身份验证,并且想知道有没有人对这种事情的最佳做法有任何推测.
我原来的方法是一个基于cookie的系统.本质上我设置了一个带有验证码的cookie,每个数据访问都改变了cookie.同样,每当出现验证失败时,该用户的所有会话均被取消身份验证,以防止劫持者出现.为了劫持一个会话,有人将不得不自己登录,黑客将需要发送最后一次cookie更新来欺骗会话.
不幸的是,由于AJAX的性质,当快速发出多个请求时,他们可能会重新出现故障,将cookie设置错误,并打破会话,因此我需要重新实现.
我的想法是:
>一个非常不太安全的基于会话的方法
>在整个网站上使用SSL(好像过度杀毒)
>使用ssl认证的iFrame进行安全交易(我只是认为这是可能的,有一点点jquery黑客)
问题不在于数据传输,唯一的担忧是有人可能会控制不是他们的帐户.
一个非常不太安全的基于会话的方法