跨网站用户验证安全问题

haprince 2009-07-26 06:45:21
我用ASP做的网站程序想出售,就想通过用户验证的方式。设想在我自己建立的一个网站做个用户注册验证系统,用户的程序网站首先要进入用户登陆页面,然后到我的网站验证,通过后把特定信息传递到用户网站,用户网站记录一个Session就可以正常使用。我担心的问题是用户写个ASP页面直接先弄个Session记录,那就可以使用程序了。可是用户网站的ASP程序也不能直接判断另一个网站的Session啊。如果能判断Session是生成者是谁,也就是哪个页面产生的Session记录,那样会安全些。
另外我想问下用户没有直接看到生成Session的源文件,能不能写个程序在本地取得Session的名称和值?也就是如果我把生成Session的页面加密的足够好,是不是就用这种验证方式就算安全了?
...全文
23 点赞 收藏 1
写回复
1 条回复
切换为时间正序
请发表友善的回复…
发表回复
北京不不 2009-07-26
用ajax吧。代码写的隐蔽点写在js里。js里代码越多越好,而且js里的代码是关键代码,删除了网站就用不了。
当他登陆后台,用ajax异步执行读取你得注册网站的数据库。看你得数据库里有没有注册信息,注册信息采用md5加密吧。存贮你所卖网站的相关信息。比如域名,IP地址啊。如果没有数据,或者数据不符合,(比如域名什么的都可以取到)没有数据记录就跳到你得注册网站注册。
甚至你在你所卖软件的数据库里设置个表存贮注册信息,注册信息存储域名,如果域名不符合,就不允许他登陆后台,当然也是用不可逆加密。他也无法修改。
回复
发动态
发帖子
ASP
创建于2007-09-28

2.8w+

社区成员

ASP即Active Server Pages,是Microsoft公司开发的服务器端脚本环境。
申请成为版主
社区公告
暂无公告