因此,我有一个页面在html页面中使用输入字段的ajax来张贴json数据。从javascript发送一个共享密钥进行身份验证
ajax发布到一个不同的服务器,服务器当前检查授权标头,并将其与共享密钥进行比较,如果密钥匹配json请求执行(请求通过https完成)。
我担心的是任何人都可以打开源代码并查看共享密钥,这意味着任何人都可以向我的服务器发送经过身份验证的请求(错误)。
因此,我想加密密钥,但这只是让我再次遇到第一个问题。
我无法从生成html页面的相同服务器(在服务器端)执行json请求,因为它太慢了。我可以控制发送的内容,但不会在发送时发送。
我正在使用ajax调用,因为我需要立即使用这些数据。
我该如何创建一个令牌,一个恶意用户不能伪造,所以我可以相信这个json请求来自我期望它来自的服务器/页面?
会不会https(而不是http)做的伎俩? –
@barakmanos:https只是确保数据不会被*路由*篡改,而不是在源头伪造。 –
感谢您的额外知识:) –