我正在从事一个稍微深奥的项目,我们需要在小型/慢速嵌入式微处理器(无操作系统)中实现一些基本身份验证。该设备通过其串行端口为几个网页提供服务,然后我们无法控制的一些硬件通过 IP 网络喷射这些网页。
服务器代码,例如它(想想 nweb 在挨饿节食),接受 HTTP GET/POST 请求并吐出页面并相应地更改其设置。
我们需要某种方式来验证用户登录/ session ,这样我们就不允许人们看到他们不应该看到的数据或更改设置。
该设备并非旨在直接暴露于互联网或 100% 不受严重黑客攻击(网络安全/隔离是客户的问题*),安全要求更多是关于防止低级别人员接触闪烁灯; )
由于缺乏空间/处理能力(假设我们有大约 2k 的代码空间和不多的 MHz)我们无法实现 SSL 之类的东西,但至少比沼泽标准更好HTTP access control .
我们可以处理 GET、POST 和设置/读取 cookie 数据。我们的微处理器确实有一个不错的加密标准硬件随机数生成器,如果它有任何帮助的话。
- = 实际上,客户应该将设备卡在自己的网络上,物理上断开连接或至少用防火墙将其与其他任何东西隔离开来。但是,嘿,如果它适用于波音...
最佳答案
如果您只想防止访问: 每当有 GET 请求时,查找密码的 cookie。 如果未设置 cookie,则发回 HTML 登录表单,将密码发布到服务器。 如果服务器获得带有正确密码的 POST 数据,则发回一个“登录正常”页面,将 COOKIE 设置为密码。然后任何登录的人(显然使用正确的密码)都将在所有 future 的 GET 请求中设置 cookie。从未登录过的人将始终看到登录页面。您可以通过设置两个 cookie 值来“隐藏”它:一个随机数,以及随机数和密码的 XOR。这样客户就无法弄清楚 cookie 中的值是什么。如果您进一步将其与客户端 IP 进行 XOR,客户端将无法将 cookie 复制到其他计算机。服务器将始终能够取消所有操作并从随机数和其他 cookie 值中找出密码/ip。
如果您想要简单的加密,您可以在 javascript 中使用 XMLHTTPREQUESTS。让服务器使用简单的 puesdo 随机数生成器(或简单的 XOR obsfuncitation 或其他)加密数据,并让客户端在 javascript 中反向执行相同的操作。您可以让服务器加密除 index.html 之外的每个页面,并且在 index.html 中您可以拥有它,以便它在 javascript 中对其他页面进行 XMLHTTPREQUESTS 并解密它们,然后使用 innerHTML 或其他方式将内容放入 div 中。
关于c - 用于嵌入式系统的轻量级 Web 身份验证,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/13473561/