Ich habe schon lange nach einer guten Antwort auf diese Frage gesucht, aber ich kann keine gute Lösungen für mein Problem finden.jQuery Widget Verschlüsselung Initialisierung Variablen
Also, ich möchte ein jQuery Widgets erstellen, die auf einer Kunden-Website implementiert werden können. Dieses Widget muss jedoch über einen APIKey initialisiert werden, den ich geheim halten möchte, damit die Kunden die Kundenseite nicht besuchen.
Daher dachte ich über Verschlüsselung, die auf den wichtigsten Skriptsprachen wie PHP, Perl, etc. vorhanden sein muss. Zum Beispiel hash_hmac ... Sonst könnte die APIKey extrahiert werden, aber die verschlüsselte Zeichenfolge kann auch kopiert werden . Abgesehen davon habe ich auch über einen Handshake nachgedacht, aber für diesen Handshake würde ich auch den APIKey brauchen, um den Handshake zu autorisieren ...
Es ist ein Problem, aufgrund des Inhalts des Widgets zeigt.
Daher meine Frage: Haben Sie Jungs jede gute Idee oder Lösungen für mich, damit ich meinen Widget auf der Kunden-Website implementieren securly ist, also mit einem apikey, die von den Besuchern der Kunden Website sicher ist?
Vielen Dank im Voraus.
Ich habe diesen Ansatz bereits implementiert, aber der Bezeichner ist sichtbar für beispielsweise Hacker, die die Domain durch Manipulieren von Referer fälschen können. Also, ist das sicher genug? Ich dachte über einen Handshake nach, aber das würde eine weitere Anfrage mit einer unsichtbaren Kennung erfordern, die einen einmaligen Initialisierungscode zurückgibt, mit dem Sie das Widget initialisieren. –
Ist es sicher? Google verwendet diese Technik, um zu bestätigen, dass Sie die Website besitzen (html-Tag-Verifizierung suchen). Wenn Ihr Kunde Ihr Skript und den Schlüssel tatsächlich auf dieser Seite platzieren kann, hat er die Kontrolle über die Seite/Domäne. Wenn Ihr Skript den Schlüssel und die Domain von der Seite abruft und diese mit dem vergleicht, was in Ihrer Datenbank enthalten ist, dann sind sie gut zu gehen/autorisiert. Ein Hacker könnte Ihr Skript auf der umgeleiteten Webseite installieren, aber diese Domäne und der Schlüssel stimmen nicht überein ... Sie zeigen dem Hacker eine Fehlermeldung an. Ich hoffe, das hilft. – Rob
Eigentlich, wenn ein Hacker eine Lock-Anfrage mit der Domain als Referer und mit dem erforderlichen Schlüssel auslöst, wird es den Zugang gewähren? Während es nicht von der Domain selbst ist? Wie kann ich diesen "Hack" überwinden? –