Creerò una rete di affiliazione demo, che deve essere protetta. Diciamo che ho un'applicazione web chiamata Gestore della rete di affiliazione che gestisce tutti gli affiliati associati al mio negozio di libri online.
Affiliate Network Manager fornisce un'API che consente al sito Web di un editore (un sito affiliato) di ottenere il logo del sito web del negozio di libri, in modo che possa visualizzare il logo del negozio di libri sul sito Web dell'editore.
Assumiamo il seguente scenario: esiste un sito web del publisher A, con ID univoco 123
. Un utente finale visita il sito web, fa clic sul logo, viene reindirizzato al negozio di libri online e acquista un libro.
Il sistema ottiene l'ID univoco dalla richiesta e sa che questa richiesta proviene dal publisher A. Quindi, ricorda che il client ha visitato la libreria dall'editore A. L'editore A riceve una commissione in base all'ammontare della transazione. / p>
Funziona, ma c'è un problema di sicurezza: Supponiamo di avere un altro editore B, con ID univoco 456
. Quindi un utente malintenzionato del publisher B può acquisire una richiesta dal produttore A e modificare l'ID univoco in 456
. Quindi, l'editore B riceverà la commissione dell'editore A.
Come posso risolvere questo problema di sicurezza e assicurarmi che l'autore dell'attacco non possa modificare l'ID univoco quando viene trasmessa la richiesta? O in altre parole: come posso fare l'autenticazione in questo caso?