Standard -server to server- and -browser to server- metodo di autenticazione

4

Ho un server con alcune risorse; finora tutte queste risorse sono state richieste tramite un browser da un utente umano e l'autenticazione è stata effettuata con un metodo username / password, che genera un cookie con un token (per avere la sessione aperta per qualche tempo).

In questo momento il sistema richiede che altri server facciano richieste GET a questo server delle risorse, ma devono autenticarsi per ottenerle. Abbiamo utilizzato un elenco di IP autorizzati ma avere due metodi di autenticazione rende il codice più complesso.

Le mie domande sono:

  • Esiste un metodo o uno schema standard per autenticare utenti e server umani che utilizzano lo stesso codice?

  • Se non c'è, i metodi che sto usando ora sono quelli giusti o c'è un modo migliore / più standard per realizzare ciò di cui ho bisogno?

Grazie in anticipo per qualsiasi suggerimento.

    
posta jeruki 19.11.2012 - 17:35
fonte

2 risposte

1

Come ha sottolineato @Ryanthal, impersonare il server (lo chiamerò consumer-server ) è una buona idea. Per me il metodo che stai usando è comune e utilizzerò uno molto simile.

Un piccolo flusso che puoi utilizzare per impersonare il tuo server è:

  1. Il post del server consumer nella pagina di accesso, l'utente e la password (un account creato appositamente per quel server)
  2. Le credenziali sono convalidate e risponde con il cookie di autenticazione (lo fai già, per i browser)
  3. Il server di consumo ispeziona la risposta e memorizza il cookie di autenticazione, nella sua sessione / memoria
  4. Consumer-server passa il cookie nei seguenti GET

Per un modo di leggere / impostare il cookie nei server dei consumatori dare un'occhiata qui , il cookie è semplicemente un argomento passato nella risposta / richiesta.

Pro :

  • Autenticazione unificata per utenti (browser) e computer (server di consumo)
  • Se il server cambia è IP, non devi preoccuparti di
  • Più facile limitare le autorizzazioni del server consumer, basandosi sui meccanismi di autorizzazione

Contro :

  • Potrebbe essere necessario toccare i server dei consumatori, potrebbe non essere disponibile se non lo controlli
risposta data 15.01.2013 - 21:12
fonte
2

Rendi i tuoi server impersonare gli utenti, il tuo sistema di autenticazione non ha bisogno di sapere che sono server o altri utenti, devi solo assicurarti che l'autenticazione non fallisca mai per gli utenti che sono effettivamente server.

    
risposta data 19.11.2012 - 17:50
fonte

Leggi altre domande sui tag