Javascript.RU

Создать новую тему Ответ
 
Опции темы Искать в теме
  #1 (permalink)  
Старый 14.04.2015, 10:35
Интересующийся
Отправить личное сообщение для handler Посмотреть профиль Найти все сообщения от handler
 
Регистрация: 08.03.2015
Сообщений: 22

Чат сервис и безопасность
Добрый день
Реализую чат для проекта
Серверная часть java+smartfoxserver
клиент соответственно javascript
Вся рутинная работа клиента уже написана smartfox-ом
Возникает вопрос безопасности
логинимся на сервере

sfs.send(new SFS2X.Requests.System.LoginRequest("login", "password", null, ""));



вот логин понятно возьмем под кем зашел пользователь, как быть с паролем? пароль для авторизации в клиент посылать думаю не безопасно
Кто что подскажет?
Пока идея такая при регистрации пользователя генерится пароль и для доступа к чату(пользователь об этом даже знать не будет)
и уже при инициализации скрипта для работы с чатом ajax-ом получать этот пароль,и подсовывать ему, по безопасности вроде как более лучше


А вообще по хорошему бы инициализировать этот объект(sfs) для работы с чатом на стороне сервера, и отправлять его клиенту, который ничего тогда знать о коннекшене и авторизации не будет)
Ответить с цитированием
  #2 (permalink)  
Старый 15.04.2015, 08:25
Интересующийся
Отправить личное сообщение для handler Посмотреть профиль Найти все сообщения от handler
 
Регистрация: 08.03.2015
Сообщений: 22

не ужтали никаких идей нет, или описал суть проблемы не ясно=)
Ответить с цитированием
  #3 (permalink)  
Старый 16.04.2015, 15:52
Интересующийся
Отправить личное сообщение для handler Посмотреть профиль Найти все сообщения от handler
 
Регистрация: 08.03.2015
Сообщений: 22

ладно буду тогда использовать вариант который придумал сам))))
Ответить с цитированием
  #4 (permalink)  
Старый 16.04.2015, 16:19
Профессор
Отправить личное сообщение для laimas Посмотреть профиль Найти все сообщения от laimas
 
Регистрация: 14.01.2015
Сообщений: 12,989

Сервер никогда не хранит пароли, он хранит их хеш. Пользователю даже хеш пароля отправлять не стоит. Вход может идентифицироваться в сессии или куках. Для пущей страсти можно формировать еще и токен постоянно меняющийся и проверять его.
Ответить с цитированием
  #5 (permalink)  
Старый 16.04.2015, 16:33
Интересующийся
Отправить личное сообщение для handler Посмотреть профиль Найти все сообщения от handler
 
Регистрация: 08.03.2015
Сообщений: 22

По поводу хэшей согласен
как писал выше тут некая трехзвенка, пользователь авторизуется на web сервере, и он должен иметь доступ к серверу чата, который тоже требует авторизацию по логину паролю, этот сервер ничего о сессиях и куках еще не знает, ему нужно послать событие "авторизация"

Последний раз редактировалось handler, 16.04.2015 в 16:37.
Ответить с цитированием
  #6 (permalink)  
Старый 16.04.2015, 16:44
Интересующийся
Отправить личное сообщение для handler Посмотреть профиль Найти все сообщения от handler
 
Регистрация: 08.03.2015
Сообщений: 22

в принципе да, наверное буду отправлять хэш, даже если его перехватят авторизоваться не смогут, а там как уже разберусь с токенами буду и их слать, но в dev режиме пойдет так)
Ответить с цитированием
  #7 (permalink)  
Старый 16.04.2015, 17:37
Профессор
Отправить личное сообщение для laimas Посмотреть профиль Найти все сообщения от laimas
 
Регистрация: 14.01.2015
Сообщений: 12,989

Нет, даже хеш пароля зачем отправлять клиенту? Если надо, то отравлять можно хеш сформированный из уникальных значений пользователя.
Ответить с цитированием
  #8 (permalink)  
Старый 17.04.2015, 06:40
Интересующийся
Отправить личное сообщение для handler Посмотреть профиль Найти все сообщения от handler
 
Регистрация: 08.03.2015
Сообщений: 22

Сообщение от laimas Посмотреть сообщение
Нет, даже хеш пароля зачем отправлять клиенту? Если надо, то отравлять можно хеш сформированный из уникальных значений пользователя.
а как клиент автаризуется на сервере если он ничего не будет посылать?
а чтобы послать, ему нужно получить его в начале. из уникальных это хорошо, но как сервер будет знать об этой уникальности?
Ответить с цитированием
  #9 (permalink)  
Старый 17.04.2015, 06:53
Профессор
Отправить личное сообщение для laimas Посмотреть профиль Найти все сообщения от laimas
 
Регистрация: 14.01.2015
Сообщений: 12,989

а как клиент автаризуется на сервере если он ничего не будет посылать?

Авторизация, это вход, то есть когда клиент отправляет серверу логин и пароль. Результат авторизации, это разрешение, признаком которого может служить некий флаг в сессии.

вот логин понятно возьмем под кем зашел пользователь, как быть с паролем? пароль для авторизации в клиент посылать думаю не безопасно

Зачем после успешного входа отправлять назад клиенту логин и пароль? Вам чего надо?
Ответить с цитированием
  #10 (permalink)  
Старый 17.04.2015, 08:34
Интересующийся
Отправить личное сообщение для handler Посмотреть профиль Найти все сообщения от handler
 
Регистрация: 08.03.2015
Сообщений: 22

этот успешный вход на сайт, затем после успешного входа нужно в Js авторизоваться еще на одном сервисе который ни как не связан с сайтом на прямую
Ответить с цитированием
Ответ



Опции темы Искать в теме
Искать в теме:

Расширенный поиск


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Hec.su - Сервис сокращения длинных ссылок unix Ваши сайты и скрипты 13 09.03.2015 21:35
Сервис сокращения ссылок LinkAC Ваши сайты и скрипты 0 05.01.2013 19:39
Чат. Получение текста из флэш потока Кнопикс AJAX и COMET 9 18.11.2011 13:10
Как написать свой чат mycoding Оффтопик 2 14.08.2010 21:51
Чат vochat и фреймы Abaza Работа 2 02.11.2009 14:40