[qson]

Citat:

Ursprungligen postat av weirdbyte

Hallå.

Här kommer en fråga angående säkerhet och autentisering angående inkommande "requests" hur jag ska kunna validera att avsändare är den han påstår sig vara.

Det är så att på min sida så har jag en service som tar emot data. Jag har även flera kända användare. Exempel på en användare kan vara Erik.

Tanken är att min service ska kunna ta emot data från olika användare.

Problemet är att jag vet inte bästa sättet att kontrollera att datan jag får är verkligen från den användaren den påstår sig vara.

Se bifogade bilden.

Fakta:
- Det går att lägga till fler attribut på användaren
- Användaren är inte bunden till en specifik ip

Min fråga är:
Vilka autentiseringslösningar kan jag använda som även sätter stop för replikation och man in the middle attack?

Jag har gjort en liknande service, och jag löste det på följande sätt:
Varje användare har ett lösenord.
I varje request skapas en kontrollsumma, t.ex. md5, av "postad data och lösenordet"
Lösenordet skickas inte med.
När requesten valideras gör den motsvarande kontrollsumma av "postad data (utan kontrollsumma) och lösenord".
Om kontrollsummorna inte stämmer har inte användaren postat formuläret.

Detta tillvägagångssätt används bl.a. av Payson och Facebook Connect.