use*_*449 8 php security session curl
我想拥有两台服务器,服务器A和服务器B.服务器A执行所有身份验证(用户名和密码).如果用户在服务器A处被认证,则服务器A将发送用户的会话ID,IP地址,用户等的POST数据.服务器B将通过SSL接收所有这些数据,并将信任服务器A并授予用户访问权限.此外,服务器B将仅通过服务器A的IP接受来自服务器A的POST数据.
我的问题是,由于帖子数据是通过curl/ssl发送的,是否可以在流量中截获或被盗?黑客可以用纯文本(这里最重要的组件)查看会话ID吗?
有什么办法可以增加这种方法的安全性吗?
Gor*_*don 10
您不希望使用PHP实现此功能,因为仅使用Web服务器就可以轻松实现这一点.您的服务器A处理SSL(甚至有硬件)可以充当中央身份验证服务,也可以充当服务器B 的反向代理.这是在服务器之间划分责任的常见设置.请研究这些主题.
您可以从各种解决方案中选择,包括免费解决方案,如nginx作为反向代理,或商业解决方案,如IBM的WebSEAL等.
是的,当您使用SSL时,它足够安全(如果有疑问,请购买审计).
在旁注中,这个问题可能更适合serverfault.com.
| 归档时间: |
|
| 查看次数: |
1447 次 |
| 最近记录: |