Token AJAX protetto con autenticazione di base HTTPS

2

Ho un sito web (https) che ha abilitato l'abilitazione di base per /token sottodir Ho websocket che passa attraverso Nginx per diventare wss

Voglio creare una api bidirezionale sul websocket in modo che gli utenti finali possano vedere l'accesso a tutto, ma l'accesso in scrittura richiede un token ottenuto tramite una richiesta AJAX a /token che è protetto da password tramite l'autenticazione di base tramite Nginx.

  • lato client non dovrebbe richiedere la password a meno che non venga effettuato un comando che richiede l'accesso in scrittura
  • sullo script di scrittura lato client lo script controlla il token memorizzato localmente e ne richiede uno o ne invia uno al server nella chiamata api di accesso in scrittura
  • se il codice lato client è compromesso, sarà comunque richiesto un token protetto da /token

Per quanto posso dire, sembra sicuro ... mi sto perdendo qualcosa?

    
posta CaffeineAddiction 15.03.2018 - 11:09
fonte

0 risposte

Leggi altre domande sui tag