it-swarm.com.de

Überprüfen, ob ein Benutzer von einer Partner-Site stammt?

Wir bauen ein Drupal Modul, das vertrauenswürdigen 'Unternehmenspartnern' zur Verfügung gestellt wird. Wenn ein Benutzer auf einen Link klickt, sollte er auf unsere Website weitergeleitet werden, als wäre er ein angemeldeter Benutzer.

Wie soll ich überprüfen, ob der Benutzer tatsächlich von dieser Site stammt? Es sieht nicht so aus, als ob 'HTTP_REFERER' ausreicht, da es den Anschein hat, dass es gefälscht werden kann.

Wir stellen diesen Partnerseiten API-Schlüssel zur Verfügung. Wenn ich den API-Schlüssel als POST -Wert erhalte, der über https gesendet wird, ist dies ein ausreichender Indikator dafür, dass der Benutzer ein echter Partner-Site-Benutzer ist?

2
siliconpi

Wenn eine eindeutige Kombination aus Benutzername und Kennwort über https gesendet wird und diese Anmeldeinformationen gültig sind, ist dies ein sicherer Weg, um die Identität eines Partners zu bestätigen. Auf diese Weise funktionieren die meisten APIs, einschließlich derjenigen von Zahlungsverarbeitungsunternehmen.

0
John Conde

Wenn eine Partnerwebsite Ihre API verwendet, sollten Sie ihnen einen privaten API-Schlüssel (für die Serverseite) und einen öffentlichen API-Schlüssel (für die Benutzerseite) bereitstellen.

Auf diese Weise kann das "Modul", wie Sie sagen, entweder den öffentlichen API-Schlüssel über POST oder ein GET in der URL übergeben.

Diese Funktion kann "gefälscht" werden, aber Sie können einem Benutzer ein Cookie geben oder eine serverseitige Kennung speichern, sodass sie nur einmal "gefälscht" werden kann.

0
user5711