Arresto di spider o utenti non autorizzati dalla visualizzazione di file

0

Sono perplesso a questo problema.

Gli utenti si autenticano sul sito Web del mio cliente. Quindi gli utenti vedono la loro pagina del profilo sul sito web del mio cliente. Il mio cliente ora vuole che fornisca un URL sulla sua pagina del profilo, per i suoi utenti, per scaricare informazioni da un sito Web esterno. (Questo sito esterno non è controllato dal mio cliente). Ciò significa che, facendo clic su questo URL, si collega a un sito Web esterno e ottiene un file personalizzato.

Poiché le informazioni sono considerate sensibili (non critiche), il sito web esterno non dovrebbe consentire a nessuno di scaricare il file personalizzato.

Sono perplesso nel capire come consentire solo un'autenticazione (sul sito Web del mio cliente) invece di far autenticare due volte gli utenti finali (una volta sul sito web del mio cliente e separatamente sul sito esterno)

Qualche idea?

    
posta Poliquin 24.02.2014 - 05:48
fonte

3 risposte

1

Gli URL pre-firmati potrebbero essere di aiuto. Quando un utente esegue l'autenticazione su un sito Web, il sito Web può interrogare l'altro sito Web per un URL preconfigurato che non richiede l'autenticazione come il sito Web principale ha già fatto.

Stiamo utilizzando questa funzione con Amazon.

    
risposta data 24.02.2014 - 06:29
fonte
1

A meno che tu non abbia accesso diretto al sito esterno o qualche tipo di accordo con chi gestisce il sito, questo è un problema irrisolvibile. È necessario trasmettere una sorta di token al sito esterno per informarli che è possibile accedere a qualsiasi informazione sensibile a cui si sta tentando di accedere e ciò richiede una sorta di coordinamento tra le due parti. Inoltre, qualunque protocollo tu abbia progettato deve seguire le corrette pratiche di sicurezza. Questa non è un'impresa semplice ed è una delle molte ragioni per cui esistono protocolli come OAuth.

    
risposta data 24.02.2014 - 09:18
fonte
0

E che dire di avere un login / password per il tuo cliente sul secondo server? Dopo che un utente accede al server client, può avviare la connessione al secondo server tramite javascript, non vedendo né login né password. Certo, non è molto sicuro, ma più sicuro di nessun login / password.

    
risposta data 24.02.2014 - 16:47
fonte

Leggi altre domande sui tag