Chcel by som poskytnúť ako službu XML kanály vlastníkom webových stránok. Samotný súbor XML bude poskytovaný prostredníctvom webovej služby (.asmx)
Problém je v tom, že klient môže voľne distribuovať odkaz na informačný kanál XML.
Napadlo ma teda vytvoriť licenciu „podľa stránok“.Vlastník-klient webových stránok mi potvrdí webové stránky, ktoré budú požadovať kanály XML. Týmto spôsobom sa informačné kanály XML poskytnú konkrétnym požiadavkám http.
P.S. Viem, že môžete zmeniť hlavičky atď. Ale chcel by som implementovať riešenie „spomaliť veci“ a cítiť sa lepšie!
Mohli by ste poskytnúť lepší licenčný algoritmus? Ako môžem zabezpečiť, aby sa informačné kanály XML voľne distribuovali?
odpovede:
4 pre odpoveď č. 1Úplne záleží na tom, aké sú vaše obchodné pravidládiktovať; čím väčšiu bezpečnosť chcete, tým väčšiu záťaž kladiete na jednotlivé weby, aby sa overili. Čím ľahšie to pre klientske weby chcete, tým menej zložitý je váš algoritmus.
V zásade však obsah strážte pomocou tokenu špecifického pre dané sedadlo (t. J. Hesla).
Pre každého povoleného klienta vygenerujete token.V rámci žiadosti požiadate o miesto, aby ste tento žetón odovzdali. Keď dostanete tento token, overte ho (v akomkoľvek rozsahu, ktorý považujete za vhodný) - možno iba skontrolujete, či je to platný token, možno skontrolujete pôvodcu adresy IP, možno je token súčasťou fázy šifrovania výzva - odpoveď.
Sledujte prihlásenia sedadiel a hľadajte zneužitie (žiadosti prichádzajúce z rôznych adries IP, žiadosti prichádzajúce s vysokou rýchlosťou atď.).
Na úrovni spúšťacej služby pravdepodobne nebudete potrebovať veľkú sofistikovanosť, pokiaľ nemáte do činenia s citlivými informáciami alebo kým nedosiahnete úspech.
2 pre odpoveď č. 2
Môžete použiť riešenie založené na certifikátoch(Infraštruktúra PKI): vytvoríte si vlastné certifikáty, ktoré pošlete zákazníkom (každý zákazník dostane svoje vlastné), a skontrolujete ich pomocou logiky na strane servera, ktorá je podobná tomu, čo je tu popísané: ASP.NET WebForms: Implementácia autentifikácie PKI. Nie je to príklad ASMX, ale logika modulu Http je rovnaká.
Výhodou je, že používatelia nebudú musieť zadávať žiadne heslo, pretože ich prehliadač by mal byť schopný predložiť certifikát, ak to vyžaduje stránka.
Používatelia môžu samozrejme stále kopírovať a odosielaťcertifikáty ostatným používateľom, takže budete stále potrebovať nejaký monitorovací mechanizmus, napríklad na základe adresy IP (aj keď to nie je 100% úplné, je to lepšie ako nič). Keď zistíte, že sa certifikát javí ako mŕtvy (používa ho príliš veľa osôb), môžete ho napríklad označiť ako neplatný na svojom serveri a legitímnemu používateľovi poslať nový.
0 pre odpoveď č. 3
Mám k tomu blízko licenčný systém, chcemposkytnúť prístup k službe pre konkrétne súbory XSL a konkrétne webové stránky, pretože spracúva xsl na základe tagsouped http z adresy URL, aby som to urobil, vzal som referer url a v porovnaní s povolenou url spolu s požadovaným súborom xsl
Iný systém, na ktorom som pracoval, trval jeden krokďalej a ako identifikátor streamu (bol určený na streamovanie videa) bolo odoslané ID používateľa a denná doba a ak sa zhodujú, bolo povolené spustenie streamu (s 1-minútovým oknom).
Ale všetky tieto metódy pracujú na poznávaní poradia parametrov v kľúči a skrytom kľúči zaslanom v jednom alebo oboch smeroch a md5 hashujúcom výsledný reťazec pre viditeľný / prenášaný kľúč.