Accesso da un'applicazione desktop a un'applicazione Web

1

Ho un'applicazione desktop e un'applicazione web. L'utente è connesso all'applicazione desktop. Con un clic su un pulsante o qualcosa che il browser dovrebbe aprire e l'utente deve accedere.

Ora sono un po 'confuso su come implementarlo in modo sicuro. Il mio primo pensiero sarebbe quello di generare un nonce sul server, passare questo all'applicazione che a sua volta genera un URL per il browser. (L'intera comunicazione è su HTTPS). Ma dato che il nonce si troverebbe nell'URL, un MITM non potrebbe semplicemente prenderlo e quindi accedere come utente? Immagino che il browser mostrerebbe un problema con il certificato in caso di un attacco MITM ma alcuni utenti non sono molto esperti, quindi ho pensato che avrebbero semplicemente eliminato qualsiasi errore del certificato.

Questo è un problema perché alcuni di questi utenti sono una sorta di amministratore (la creazione di utenti) quindi sarebbe molto brutto se un utente malintenzionato può accedere.

È possibile accedere automaticamente a un utente da un'applicazione desktop a un'applicazione Web in modo sicuro?

    
posta morpheus05 04.06.2015 - 14:54
fonte

1 risposta

1

Ho avuto questo problema alcune settimane fa. L'ho semplicemente risolto rendendo un servizio web accessibile tramite Https.

Il login utente da un'applicazione client locale tramite un modulo login / password che viene inviato da https. Il server ottiene i dati e invia un token al client.

Il token è archiviato nell'applicazione per scopo di accesso e scade dopo 2 settimane. Alla scadenza del token, il mio cliente deve effettuare nuovamente il login.

La mia richiesta è basata su https, quindi si prende cura delle strette di mano, della crittografia, ecc.

Una grande quantità di WebAPI utilizza questo metodo per effettuare transazioni sicure.

Se notate una grande quantità di tentativi di accesso falliti sul lato server, bloccate qualsiasi tentativo provvisorio dal client per un dato periodo di tempo, che aumenterà dopo i tentativi falliti del futuro.

    
risposta data 09.06.2015 - 15:40
fonte

Leggi altre domande sui tag