Страница 1 из 2 1 2 >
Показывать 40 сообщений этой темы на одной странице

Javascript-форум (https://javascript.ru/forum/)
-   Элементы интерфейса (https://javascript.ru/forum/dom-window/)
-   -   Чат сервис и безопасность (https://javascript.ru/forum/dom-window/55105-chat-servis-i-bezopasnost.html)

handler 14.04.2015 10:35
Чат сервис и безопасность
 
Добрый день
Реализую чат для проекта
Серверная часть java+smartfoxserver
клиент соответственно javascript
Вся рутинная работа клиента уже написана smartfox-ом
Возникает вопрос безопасности
логинимся на сервере 

sfs.send(new SFS2X.Requests.System.LoginRequest("login", "password", null, ""));



вот логин понятно возьмем под кем зашел пользователь, как быть с паролем? пароль для авторизации в клиент посылать думаю не безопасно
Кто что подскажет?
Пока идея такая при регистрации пользователя генерится пароль и для доступа к чату(пользователь об этом даже знать не будет)
и уже при инициализации скрипта для работы с чатом ajax-ом получать этот пароль,и подсовывать ему, по безопасности вроде как более лучше


А вообще по хорошему бы инициализировать этот объект(sfs) для работы с чатом на стороне сервера, и отправлять его клиенту, который ничего тогда знать о коннекшене и авторизации не будет)

handler 15.04.2015 08:25
не ужтали никаких идей нет, или описал суть проблемы не ясно=)

handler 16.04.2015 15:52
ладно буду тогда использовать вариант который придумал сам))))

laimas 16.04.2015 16:19
Сервер никогда не хранит пароли, он хранит их хеш. Пользователю даже хеш пароля отправлять не стоит. Вход может идентифицироваться в сессии или куках. Для пущей страсти можно формировать еще и токен постоянно меняющийся и проверять его.

handler 16.04.2015 16:33
По поводу хэшей согласен
как писал выше тут некая трехзвенка, пользователь авторизуется на web сервере, и он должен иметь доступ к серверу чата, который тоже требует авторизацию по логину паролю, этот сервер ничего о сессиях и куках еще не знает, ему нужно послать событие "авторизация"

handler 16.04.2015 16:44
в принципе да, наверное буду отправлять хэш, даже если его перехватят авторизоваться не смогут, а там как уже разберусь с токенами буду и их слать, но в dev режиме пойдет так)

laimas 16.04.2015 17:37
Нет, даже хеш пароля зачем отправлять клиенту? Если надо, то отравлять можно хеш сформированный из уникальных значений пользователя.

handler 17.04.2015 06:40
Цитата:
Сообщение от laimas (Сообщение 367023)
Нет, даже хеш пароля зачем отправлять клиенту? Если надо, то отравлять можно хеш сформированный из уникальных значений пользователя.
а как клиент автаризуется на сервере если он ничего не будет посылать?
а чтобы послать, ему нужно получить его в начале. из уникальных это хорошо, но как сервер будет знать об этой уникальности?

laimas 17.04.2015 06:53
а как клиент автаризуется на сервере если он ничего не будет посылать?

Авторизация, это вход, то есть когда клиент отправляет серверу логин и пароль. Результат авторизации, это разрешение, признаком которого может служить некий флаг в сессии.

вот логин понятно возьмем под кем зашел пользователь, как быть с паролем? пароль для авторизации в клиент посылать думаю не безопасно

Зачем после успешного входа отправлять назад клиенту логин и пароль? Вам чего надо?

handler 17.04.2015 08:34
этот успешный вход на сайт, затем после успешного входа нужно в Js авторизоваться еще на одном сервисе который ни как не связан с сайтом на прямую


Часовой пояс GMT +3, время: 00:06.
Страница 1 из 2 1 2 >
Показывать 40 сообщений этой темы на одной странице