Javascript 通过ssl请求传递凭据是不安全的,什么';什么是更好的(接吻)解决方案?
我正在使用couchDB并开始实现身份验证/授权。 我发现最好且简单的解决方案是通过ssl连接传递凭据,但我不确定这种策略是否能确保我的站点真正安全Javascript 通过ssl请求传递凭据是不安全的,什么';什么是更好的(接吻)解决方案?,javascript,security,ssl,couchdb,Javascript,Security,Ssl,Couchdb,我正在使用couchDB并开始实现身份验证/授权。 我发现最好且简单的解决方案是通过ssl连接传递凭据,但我不确定这种策略是否能确保我的站点真正安全 我是否可以保留这一策略,购买真正的ssl证书并在生产中部署它 我会调用_session来获取身份验证令牌/cookie。然后将其用于后续授权。它将在10分钟内过期,但您可以在配置中增加它。当然,在任何解决方案中,您的“真正的SSL证书”肯定仍然是一个伟大的计划:-)根据我最初的评论,使用SSL传递凭据将确保传输过程中的安全性,因此该方面是有效的 需
我是否可以保留这一策略,购买真正的ssl证书并在生产中部署它 我会调用_session来获取身份验证令牌/cookie。然后将其用于后续授权。它将在10分钟内过期,但您可以在配置中增加它。当然,在任何解决方案中,您的“真正的SSL证书”肯定仍然是一个伟大的计划:-)根据我最初的评论,使用SSL传递凭据将确保传输过程中的安全性,因此该方面是有效的 需要记住的一个更重要的思想是,安全性涵盖了许多层,而这些凭证只构成整个系统的一部分。作为一个非常简单的例子,您可以让整个站点运行最安全的加密,但却充满了SQL注入攻击
从各个层面考虑“安全”,而不仅仅是一个层面。它应该确保运输过程中的安全;但是,请记住,这只是整个系统的一部分(例如,它不能防止代码或服务器泄露)。如果最终用户禁用cockie,这是一个真正的问题吗?是的,这将是一个问题。但是,您始终会看到“您需要启用Cookie…”信息/消息。这行得通吗?为了避免一些烦人的信息,我想继续使用我的解决方案,但请回答。