关于我的想法,我有一个悬而未决的问题。这里有一些背景:我正在为我工作的公司开发PHP应用程序。它只允许员工使用。每个员工都可以访问我们的SharePoint门户。基本上,这个应用程序必须只对那些可以访问我们的SharePoint的人开放。
我有一个想法,使用SP授权用户在我的应用程序。授权将基于下载一个安全的文件从SP(一个为所有用户),使用CURL。如果文件下载正确,您就登录了。如果不是,你不被允许访问应用程序(当然会有异常处理)。因此,每个访问SP的人都可以访问应用程序。应用程序和SP位于不同的服务器上。
你觉得那个主意怎么样?它安全吗?这是个好主意吗?
我已经列出了我想到的一些优点和缺点。
优点:
- 易于开发
- 访问控制由SharePoint 持有
- 用户不需要学习新的登录名和密码 在我看来,这应该是安全的,因为没有密码会存储在应用程序的数据库中
缺点/漏洞:
- 文件被意外删除的可能性
欢呼,博
这不是一个好主意。您基本上是在信任客户机对自己进行身份验证,这是非常糟糕的。您必须假设客户端代码已被完全破坏,并且已被攻击者修改以绕过您的控制。
一般来说,"自己动手"的安全性会导致灾难。您应该利用PHP内置的会话跟踪机制。如果你还不知道如何使用它,你可以在这里找到一个很好的教程。您的用户将不得不再次进行身份验证,但不幸的是,这对于适当的安全性是必要的。
还请记住,在您建议的解决方案中,除了"employee"之外可能没有访问控制。如果将来需要提供基于用户ID、角色或组来限制用户访问资源的功能,这将严重限制。如果你在游戏的这个阶段做得好,你以后会更开心。