Добавлено: Сб, 13 Дек, 2008 04:55 Заголовок сообщения: AJAX и веб-сервис с аутентификацией
Есть некий веб-сервис, предоставляющий REST API, т.е. я могу послать ему запрос вида
Код:
http://domain.com/?Action=GET&Name=it1
и он вернет мне некоторые данные.
Так сервис для моего сайта сторонний, то часть логики приложения я могу реализовать на стороне клиента через AJAX, тем самым разгрузив свой собственный сервер.
Однако есть небольшая (или большая) проблема: данный сервис требует аутентификации, т.е. для доступа к данному сервису в каждом запросе я должен послать имя пользователя и пароль под которыми зарегистрирован мой сайт :
Собственно вопрос: есть ли безопасные способы хранения пароля на стороне клиента, чтобы пользователь его не знал и мог совершать только те действия, которые заложены в скрипте?
girafenok
нету. И кроме того, через Ajax не могут осуществляться запросы на домен, отличный от того, на котором находится пользователь. _________________ До выхода LiteDiary 0.3.0:парам-пам-пам-пам! Она уже здесь!
Зарегистрирован: 17.05.2007 Сообщения: 2066 Откуда: Самара 11733
Добавлено: Сб, 13 Дек, 2008 17:57 Заголовок сообщения: Re: AJAX и веб-сервис с аутентификацией
girafenok писал(а):
Есть некий веб-сервис, предоставляющий REST API, т.е. я могу послать ему запрос вида
Код:
http://domain.com/?Action=GET&Name=it1
и он вернет мне некоторые данные.
Так сервис для моего сайта сторонний, то часть логики приложения я могу реализовать на стороне клиента через AJAX, тем самым разгрузив свой собственный сервер.
Однако есть небольшая (или большая) проблема: данный сервис требует аутентификации, т.е. для доступа к данному сервису в каждом запросе я должен послать имя пользователя и пароль под которыми зарегистрирован мой сайт :
Собственно вопрос: есть ли безопасные способы хранения пароля на стороне клиента, чтобы пользователь его не знал и мог совершать только те действия, которые заложены в скрипте?
Не совсем понятно запрос
Код:
http://domain.com/?Action=GET&Name=it1
выпоняется из браузера клиента или скрипта вашего сайта, который обработает данные и вернет пользователю.
Во втором случае вполне реально сделать схему по которой браузер клиента обращается с вашим сайтом по AJAX, вы сами посылаете нужные запросы внешнему сайту, а результаты возвращаете клиенту.
Пароль конечно лучше хранить на вашем сервере, но с другой стороны вы можете пароль зашифоровать каким то криптостойким ключем (можно с использованием открытого и закрытого ключа), хранить зашифрованный пароль у клиента и расшифровывать его уже на своем сервере при доступе пользователя к внешнему серверу. _________________ Написание конвекторов, парсеров, интеграции нескольких сайтов (в личку)
Веденин
Запрос может осуществляться каким угодно способом, хоть из адресной строки браузера. Хотелось бы полностью вынести скрипт на сторону клиента, то есть с моего сайта грузится html страница и дальше весь обмен информацией со сторонними сервисами осуществляется с javascript'ами минуя мой сайт, вот только хранение пароля...
А так если осуществлять взаимодействие со сторонним сервисом через мой сайт, то большой разницы между php и ajax реализацией я не вижу.
[LP]LordPro.teus Веденин
Запрос может осуществляться каким угодно способом, хоть из адресной строки браузера. Хотелось бы полностью вынести скрипт на сторону клиента, то есть с моего сайта грузится html страница и дальше весь обмен информацией со сторонними сервисами осуществляется с javascript'ами минуя мой сайт, вот только хранение пароля...
А так если осуществлять взаимодействие со сторонним сервисом через мой сайт, то большой разницы между php и ajax реализацией я не вижу.
А такой вариант браузер посылает запрос на ваш сайт с кешированным паролем, пароль раскодируется и запрос перенаправляется на внешний сервис, конечно опытный хакер сможет при желание получить пароль, но для рядового пользователя и слабового хакера схема взаимодействия будет нетривиальной. (правда не знаю будет ли все корректно работать) _________________ Написание конвекторов, парсеров, интеграции нескольких сайтов (в личку)
FAQ
Поиск
Пользователи
Группы
Регистрация
Профиль
Войти и проверить личные сообщения
Вход
