私は基本的なチャットプログラムのための簡単なプロトコルを書いています。 私の質問は:クライアントがユーザー名とパスワードを提供して認証したら、クライアントにそれに続くパケットにトークンを提供するよう依頼する必要がありますか?または、サーバ上のテーブルに認証ステータスを保持しておけば十分ですか?クライアントが接続を切断して再接続するまでクライアントがそれを証明するとは決して想像しませんか?クライアント/サーバーアプリケーションの認証ポリシー
0
A
答えて
0
クライアントが正しい資格情報を与えた後に、それ以上のメッセージに対して認証を要求すべきではありません。あなたの容疑者は、すべてのメッセージに認証情報が含まれている必要があります。この実装では、「ログイン」で認証する必要はなく、各メッセージのセキュリティ情報を要求するだけです。
ログインに成功すると、パスワードやその他の「ユーザー」情報を変更するなど、クライアントの情報を更新するときにユーザー資格情報を要求する場合があります。 「パスワード変更」要求が開始されると、パスワードを要求する必要があります。
誰かがメッセージを傍受できないように、認証に暗号化が添付されていることを確認してください。また、いくつかのキー(数バイトの文字列のような)を持っているかもしれません。メッセージが正しいクライアントから来ていることを確認するために、受信メッセージごとに検証することができます(最初の段落で与えられた代替デザインではありません。
関連する問題
- 1. C#WebクライアントHTTPS認証ポリシー
- 2. Facebook認証ポリシー、どの情報を取得できますか?
- 3. メール確認やパスワードのポリシー
- 4. ゲストユーザの承認とポリシー
- 5. iPhoneクライアントサーバーアプリケーション
- 6. クライアントサーバーアプリケーションのJava
- 7. asp.netでロールまたはポリシーを設定する方法MVC 6 windows認証
- 8. レール認証のユーザー認証と認可
- 9. AWS管理ポリシー対ポリシー
- 10. SharePoint内のLayoutsPageBaseポリシーとCASポリシー
- 11. wpfユーザー認証と認証
- 12. フォーム認証クロスWindows認証
- 13. Windows認証とフォーム認証
- 14. 認証チケット(フォーム認証)
- 15. Firebase認証とAuth0認証の違い
- 16. APIキー認証とユーザー認証のベストプラクティス
- 17. Java認証でのGoogle認証httpトークン
- 18. ASP.Netマスター認証のMVC認証チェック
- 19. IIS認証用のHTTP認証ヘッダー
- 20. ASP.NET用のWindows認証とフォーム認証
- 21. "証明書ポリシー"の拡張子を解析する
- 22. クライアントサーバーアプリケーションupnp /ポート転送の質問
- 23. クライアントサーバーアプリケーション - Javaで最善の方法
- 24. のlog4j:ポリシー
- 25. アップルのポリシー
- 26. DBus SystemBusのポリシー
- 27. ASP.NET 5複数のポリシーに対して承認
- 28. CakePHPの認証と検証
- 29. AngularJSの認証と承認
- 30. ユーザの認証