Хочу покалякать.
Если мне нужно веб-форму управления статусами заявок для директора запилить, но чтоб никто кроме не ломился, то как бы организовать авторизацию? Понятно, что могу в каждый урл пихать логин-пароль, указывая параметры шаблонов, но это ж верх несекурности.
Каков рациональный выход?
Приму и рассмотрю самые нестандартные подходы (даже пропихивание этих логин-паролей из урла в com-коннектор).
Хэш пароля слитого со случайной последовательностью передавать
Запили ему мобильное приложение - оценит ) Только опять таки урл светить не надо
(4) не, не варик пока. нужно, чтобы через наш уже написанный портал работало. т.е. в любом браузере.
uuid какой либо передавай в заголовках.
(11) пшол ввон из тематической ветки!
(10) никак, даже для 1с ты не можешь заблокировать брутфорс, у меня журнал регистрации выгружается в elasticsearch и там настроен триггер, если за 5 минут, больше чем 5 раз была ошибка авторизации, тогда дергает вебсервис который блокирует пользователя до выяснения обстоятельств. 5 раз пришлось добавить, т.к. в случаи kerberos авторизации всегда есть ложное одно срабатывание, а потом по kerberos делает успешное соединение.
Я за сертификат, ибо просто логин/пароль - крайне не секурно
sapphire сертификат сгенери ему и всё
+ и пусть ходит с одного девайса и не [...]
Барматолог >> Если мне нужно веб-форму управления статусами заявок для директора запилить
Из этого я понял, что пользователь, как минимум, один
Как минимум, да. Один. Но максимум пока не озвучен. И привязка к юзверям 1С-ки - тоже неясна: нужно ли или нет.
(22) бот написать, апи открытое, через секурный трёп его спросить и усе