PTT數位生活區 / PHP

[請益] $_SERVER['HTTP_REFERER'] 認證的可行性?

看板PHP作者 (威爾)時間16年前 (2009/08/24 21:35), 編輯推噓3(304)
留言7則, 6人參與, 最新討論串1/1
假設有網站 A 已經有完整的會員系統 新架設的網站 B 因為某些原因無法和 A 整合在一起 A B 架設在不同機器上 想說直接在網站 A 設定一個連結到網站 B, 使用者登入網站 A 後,點入網站 B 就靠 $_SERVER['HTTP_REFERER'] 來判斷是不是從網站 A 來的... 這樣的做法是否太過危險? 有沒有更安全的方式呢? -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 71.255.66.50
08/24 21:37, , 1F
Referer可以亂送,所以這樣其實並不安全
08/24 21:37, 1F
08/24 21:38, , 2F
HTTP_REFERER是由client填的,因此可以偽造
08/24 21:38, 2F
08/24 22:49, , 3F
openid
08/24 22:49, 3F
08/24 23:45, , 4F
請google "Single sign-on"
08/24 23:45, 4F
08/24 23:46, , 5F
如果是同domain的話 使用跨host的session可能單純些
08/24 23:46, 5F
08/25 09:49, , 6F
使用XML-RPC來完成驗證會比較好
08/25 09:49, 6F
08/31 08:14, , 7F
危險!!!不可行..可以A B兩邊寫互相驗證介面
08/31 08:14, 7F
更多 newbiegg 的文章
文章代碼(AID): #1AafSj-t (PHP)
PHP 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
更多 即時熱門文章 >>
更多 newbiegg 的文章
文章代碼(AID): #1AafSj-t (PHP)