Доброго времени суток, уважаемые форумчане! Есть сайт "А", к которому будут обращаться другие сайты. Доступ к сайту "А" должен быть только у определенного списка сайтов, всем остальным доступ закрыт. Реализация: 1 этап: Если ip, с которого поступил запрос отсутствует в списке серверов, на которых находятся сайты с разрешенным доступом в доступе отказывается. 2 этап: Если запрос произведен без соответствия уникального (для данного ip сервера и запроса) ключа в доступе отказывается. В связи с тем, что есть вероятность хищения ключа и последующего получения доступа с его помощью с сайта на этом же хосте или с тем, что его владелец сможет его использовать на другом сайте, размещенном на этом же хосте требуется дополнительные меры безопасности, есть какие-нибудь соображения по устранени подобной уязвимости?
Re: Реализация доступа к сайту для запросов с определенных с смс-валидация операций или авторизации - защита пользуемая банками.
Re: Реализация доступа к сайту для запросов с определенных с это определенно не то, все запросы к сайту "А" будут происходить в автоматическом режиме
Re: Реализация доступа к сайту для запросов с определенных с стандартная авторизация по открытому ключу - логину и паролю. Больше вы тут ничего не придумаете. Можете сделать ограничения по количеству запросов с домена/ip и сделать номера ревизий для поддержки целостности данных.
Re: Реализация доступа к сайту для запросов с определенных с Генерируете ключ ревизии и проверяйте его при каждом запросе чтобы совпадал с тем, что отдаёт пользователь. В api адривера (http://www.adriver.ru/doc/restapi/) реализовано к примеру, смотрите. Ограничения по количеству запросов на единицу времени с домена или Ip не знаете как делать?... Храните время последнего обращения и проверяйте, в чем сложность?
Re: Реализация доступа к сайту для запросов с определенных с не знаю как определить с какого домена идет запрос
Re: Реализация доступа к сайту для запросов с определенных с Запрос идет с IP адреса. Адрес достоверен. Но в случае использования прокси достоверен только адрес прокси. Адресу, откуда идет запрос, соответствует произвольное число доменов. То есть домен недостоверен. В запросе может присутствовать ссылка на источник в заголовке Http-Referer, но он (А) необязательный и (Б) его легко подделать. Заголовок это недостоверная информация. Получается на твой вопрос нет буквального ответа. Ты можешь успокоиться на IP или использовать какую-то систему ключей доступа.
Re: Реализация доступа к сайту для запросов с определенных с Диапазаон ip или криптуйте имя разрешенного хоста и передавайте как дополнительный secure_key. Потом дешифруете и проверяете. Всё
Re: Реализация доступа к сайту для запросов с определенных с полностью согласен, спасибо Добавлено спустя 3 минуты: Re: Реализация доступа к сайту для запросов с определенных сайто его в любом случае можно подменить, зная алгоритм Добавлено спустя 39 секунд: Re: Реализация доступа к сайту для запросов с определенных сайто Уважаемые модераторы тему можно закрыть