Diskuze: iframe - ochrana proti cizímu použití.
katrincsak:22.2.2016 8:49
Snažím se udělat to, že daný iframe bude moct použít jen ten kdo bude moct. To šifrování je docela široký pojem, nějak nevím co přesně máš na mysli ?
Ještě jsem se nedostal k tomu co psal Michal Vašíček.
Každopádně zatím mám 2 řešení za pomocí generování klíčů. A to
buď v různých intervalech a nebo po každém vyžádaném procesu. Respektive
"Server A" vytvoří klíč, pošle se metodou GET v URL a "Server B"
zkontroluje předaný klíč zda je skutečně v DB 
A buď se teda v případě
generování klíče u každého procesu ihned i smaže a nebo by se klíče
postupně jen mazali v případě intervalu.
Neaktivní uživatel:22.2.2016 21:23
Hele: pokud mas povoleny GET na serveru hodne bych se divil, kdyby neumel POST je to naprosto superuzivana vec, pouziva se na vsecko, posles tim cokoliv a implementacne se prilis od toho GETu IMO nelisi, takze zapatrej jestli to opravdu neni mozne, pripadne osvetli situaci - proc ne.
Jak rika Jirka, kdyz nasadis ssl dost si pomuzes.
Nepotrebujes nikde nic napevno davat, ja to chapu tak, ze mas ty na SVEM serveru appku, webovou, budiz, nechces ji dat z ruky, nechces dovolit aby si ji zakaznik nasadil na svuj server, pak by videl tvoje zdrojaky. Rozumim, tak to udelas tak, ze klientovi zalozis trebas databazi u sebe na serveru, jemu na server nasadis jen client appku, a v prohlizeci bude mit velkej iFrame (pres cely okno myslim)... okey ..co ted.. jednak to zasifrujes pres to sslko, at je sranda, pak udelas to, ze bude mit u tebe uzivatelske jmeno a heslo, prihlasovaci udaje budou na serveru u nich, peclive zasifrovany a schovany, kdyz spusti appku, nejdriv se po nem bude JEHO server dozadovat prihlaseni, uspesne se prihlasi a tim ziska pristup na SVUJ server, (tohle se hodi, kdyz budes chtit ukazat, ze jejich data jsou v bezpeci) pak JEHO server vygeneruje token (klic) podle tebou urceneho algoritmu, prida k nemu prihlasovaci udaje co jsou na serveru zasifrovany a posle je na TVUJ server, ten zkontroluje ze user existuje, ze ma record v DB atd... zkontroluje vygenerovanej token (klic) vsechno posilas pres https takze je vsechno secure .. okey jdeme dal, reknes okey .. je to nas uzivatel, ma platnej token, vygenerujes SVUJ vlastni token, posles ho JEMU spolu s adresou na iFrame ... server na JEHO strane to obdrzi, posle klientovi adresu na iFrame a token, ten si bud drzi JEHO server nebo ho posle klientovi, nebo nedejboze to zabezpecis jeste tak, ze JEHO server kazdymu klientovi vystavi vlastni bezpecnosti token a bude se o nej starat sam, no to je fuk, to si pores, ale zpet k story, takze uzivatel obdrzel do browseru iFrame je spokojenej a vesele si klika, patla a kdovico jeste, ty tokeny muzou mit ruznou zivotnost, ale pokud to tak bude, tak bych to resil s tim serverem, jakoze, TVUJ server se kazdou hodinu, kterou bude user aktivni dozada JEHO serveru na novej token, znova si ho zkontroluje atd atd... hele, realne sem to takle nikdy nenasazoval, jen rikam, ze by me to takhle napadlo ... co ty na to?
+20 Zkušeností
+2,50 Kč
Zobrazeno 11 zpráv z 11.