Php 安全跨域身份验证表单_Php_Security_Cross Domain_Forms Authentication

Php 安全跨域身份验证表单

php security

Php 安全跨域身份验证表单,php,security,cross-domain,forms-authentication,Php,Security,Cross Domain,Forms Authentication,我有一个服务器'a'。您有一个服务器“B”。服务器“A”希望向服务器“B”提供登录表单（用户名和密码）我如何实现服务器“B”无法查看/截获用户填写的内容的场景？凭据必须以安全的方式到达服务器“a”，而不会被拦截可能吗这里有一个更好的例子：服务器A向服务器B提供服务，服务器B向拥有服务器A密码的用户提供服务。在某些情况下，用户必须在服务器A中进行身份验证，但登录表单将显示在服务器的B页面中。我明白了吗？服务器B无法读取这些凭据业务逻辑是服务器A有许多客户端，服务器A将允许第三方为服务器的

我有一个服务器'a'。您有一个服务器“B”。服务器“A”希望向服务器“B”提供登录表单（用户名和密码）

我如何实现服务器“B”无法查看/截获用户填写的内容的场景？凭据必须以安全的方式到达服务器“a”，而不会被拦截

可能吗

这里有一个更好的例子：

服务器A向服务器B提供服务，服务器B向拥有服务器A密码的用户提供服务。在某些情况下，用户必须在服务器A中进行身份验证，但登录表单将显示在服务器的B页面中。我明白了吗？服务器B无法读取这些凭据
业务逻辑是服务器A有许多客户端，服务器A将允许第三方为服务器的A客户端开发应用程序。拥有主密码的是服务器A，而服务器B无法访问/读取/拦截这些凭据。在服务器B上验证客户端的方式是通过嵌入服务器B中的登录表单（我无法将用户重定向到服务器a。用户必须停留在服务器的B页面上）
问题是:
在服务器B中嵌入表单的更好方法是什么

服务器B是否可以运行JavaScript，以便在提交之前读取用户的凭据？
从您的问题中可以看出，您似乎试图通过服务器B传递敏感数据，但B不是最终目的地。即使B是目的地（或来源），答案仍然相同
实现这一点的方法是使用HTTPS/TLS/SSL。这将使用A的公共证书对数据进行加密，这样数据只能由A的私钥解密，而A只有一个私钥
这还提供了向客户端验证用户身份的附加好处。提供了一个用A的私钥签名的证书。只有A的公钥才能正确解密，从而证明只有A才能生成该证书（或者有人偷了它，但我们假设情况并非如此）
编辑：
要做到这一点，让B为页面提供服务，但不能读取其数据，让B为web页面提供服务，在客户端使用Javascript加密数据，并使用A的公钥（B可以将其包含在页面中）。即使B拥有A的公钥，它也无法解密由JS加密的数据。它只能将其传递给A
编辑：
只要所有的加密都是在客户端使用A的公钥完成的，那么除了A之外的任何一方都无法读取数据，因为只有A的私钥才能解密数据。使用此方法，您可以拥有任意多的中介机构，而无需承担风险*
*当然，这是假设一个具有足够熵和长度的RSA密钥对被认为是安全的。最小1024位，最好是2048位
另一次（也是最后一次）编辑：2013年5月9日
很抱歉这么多的编辑，但是你的问题让我很困惑。我想我现在明白你的要求了
在我之前的文章中，我做了一个重要的假设，即服务器B是可信的，不会恶意尝试获取用户的凭据。我这样做是因为，正如哈弗在评论中提到的那样，如果B的可信度有限，允许B收集用户的凭据是非常不明智和不安全的。此外，我做这个假设是因为使用第三方托管您的web应用程序是一项常见的任务，例如Heroku、Amazon等，它们不会恶意（如果他们这样做了，他们将损失大量业务，而且他们几乎没有什么可以获得的。此外，如果你发现安全违规行为，你需要有人负责。因此他们可以信任，否则你一开始就不会使用他们）。我现在假设您没有使用像他们这样的第三方来源，因为情况显然是这样
如果B可能是恶意的，那么无论您如何处理客户端代码，B都可以更改它并截获凭据。只要B可以被信任不修改您的客户端代码，那么我以前的建议就行了。但是，考虑到B的可信度有限的新信息，这样做是不明智的实施我先前的建议

通过不信任的第三方认证用户的服务是一项非常危险的尝试，正如贝宝花费了一个API所花费的钱所表明的那样。但是，如果你必须这么做，那么你需要非常小心，并考虑实现。如果你必须通过第三方，那么一个类似于上面评论中提到的@halfer的解决方案就是最好的选择，IMO
[P] 呃，你应该点击B中的某个东西，它会重定向到A，得到从您的站点获得用户权限，并使用身份验证令牌。这有你不鼓励的好处用户不应在网站中输入其主密码绝对信任
使用HTTPS/TLS/SSL将用户重定向到您的站点。这可以保护用户的凭据，还可以向用户验证您的身份，这样他们就不太可能受到欺骗攻击。然后，您可以向第三方提供足够随机的令牌以用作身份验证
但是，请理解，即使使用此解决方案，仍然存在重大风险。如果B想要攻击您的用户，B仍然可以通过直接要求他们提供登录凭据来轻松欺骗部分用户。这可能会对大多数不懂安全的用户起作用

[security]相关文章推荐

Security 多用户密码管理器安全策略 security encryption passwords

Security 复制内存中的所有当前系统数据内容 security memory

Security 是否可以在javascript中检测Internet Explorer增强的安全配置？ security internet-explorer

Security WMI中的用户权限 security

Security 查找软件中的漏洞 security

Security 密码字段应该是唯一的吗？ security

Security “阿帕奇·西罗”；有了JSF2.0“的支持！进展如何？ security spring-security

Security NTLM安全性—在超时和无效之前多长时间 security

Security 记录登录时间和会话持续时间-Java-Spring安全性 security spring login

Security Kerberos TGT行为 security

Security 从理论上讲，设计一个可证明不可压缩的硬件/软件系统是否可行？ security

Security 为什么DES算法使用16轮？ security

Security TFS安全性—读卡器组和参与者组中的用户 security tfs

Security 在AmazonS3中，我需要什么权限才能直接访问对象？ security amazon-web-services permissions amazon-s3

Security 注册方法选项 security passwords

Security 有没有办法获取当前登录CouchDB的用户列表？ security couchdb

Security Sitecore编辑器无法更改项目的语言 security sitecore

Security SAPUI5 url白名单概念 security web sapui5

Security 如何在FIWARE中实现安全级别3？ security fiware

Security Api Connect-为每个路径定义不同的安全性 security ibm-cloud

随机文章推荐

Uwp 部署到手机时未找到元素 uwp

UWP中的系统字体大小？ uwp

C#从UWP上连接的wifi适配器获取ip地址 uwp

Uwp 如何将VS2017扩展添加到Host Agent uwp visual-studio-2017

如何在Windows UWP应用程序中获取有关Arm CPU的特定信息？ uwp arm

UWP MAPCON控制大量MapIcons uwp

UWP Windows应用商店应用程序清单上写着；提供应用内购买服务；。但是我的应用程序没有 uwp

Uwp 在Windows 10 S上测试你的应用程序 uwp

从UWP中MapControl上的MapPolyline检测偏离航线 uwp gps

带或不带Fluent设计系统的UWP应用程序（取决于Windows 10的版本） uwp windows-10

Uwp 如何在代码隐藏中为DataTemplate子级设置ValueConverter uwp

Uwp 如何在没有文件选择器的情况下在固定位置保存和加载InkCanvas gif文件 uwp

Microsoft.Toolkit.Uwp.UI.Controls.dll中没有组件 uwp

UWP三维视图空中建筑不透明度/透明度 uwp

在哪些情况下可以在UWP上使用CreateProcess？ uwp

无法使用UWP启动蓝牙LE后台触发器 uwp

如何禁用MediaTransportControls（UWP）中的下一个和上一个按钮 uwp

Uwp 用户如何将文件加载到StreamingAssets？ uwp

是否可以在Windows 10中以开发者模式安装未签名的UWP应用程序？ uwp windows-10

Uwp 线程如何更新作为主线程一部分的页面表单中的文本框？ uwp