1. Accueil
  2. Question et réponse
  3. Utilisation d'un guid pour afficher les factures «sécurisées»

Utilisation d'un guid pour afficher les factures «sécurisées»

2010-11-15 4 views
3

J'ai créé un site Web pour la gestion des étudiants (écoles d'arts martiaux). Qui comprend la facturation des étudiants. Actuellement, la seule façon pour mes utilisateurs de faire cela est d'imprimer les factures et de les remettre aux étudiants. Je voudrais créer un moyen pour les étudiants d'aller à leur facture en ligne.Utilisation d'un guid pour afficher les factures «sécurisées»

J'ai envisagé d'utiliser des GUID pour les étudiants, et d'utiliser cela comme paramètre pour la chaîne de requête à la facture. (Http://thesite.com/invoice.php?guid=E3D3D122-5AB6-4405-96EC-7C0579710813)

La facture serait une page de lecture seule, et permettre pas accès au reste du site. Je ne dois donc pas m'inquiéter du reniflage de paquets (je ne crois pas qu'un trafic de reniflement dans un café soit un problème, si tout ce à quoi ils ont accès est une facture d'étudiant aléatoire).

Je m'inquiète que quelqu'un puisse deviner ou accéder à un ensemble de factures spécifique (c'est-à-dire toutes les factures d'un concurrent). Je pense que je suis soit fou de le considérer, ou c'est une pratique standard de la relativité. Je ne suis pas sûr de savoir lequel. Et SO est un excellent test de santé mentale.

Merci

Source

2010-11-15 Dan Williams

Répondre

2

qui est en fait un bon processus sécurisé; vous perdez la lisibilité de l'URL, bien sûr, mais si ce n'est pas un problème, c'est une bonne solution. Ce n'est certainement pas devinable. Par mesure de sécurité supplémentaire, vous pouvez souhaiter mettre en place la journalisation des accès aux factures.

Source

2010-11-15 20:29:57

2

Je voudrais aller encore plus loin et conserver la facture sous forme de document pdf protégé par mot de passe. Cela permet d'atteindre plusieurs choses:

  • le document est en lecture seule (une page web est aussi, mais un pdf est plus difficile pour l'utilisateur final de changer)
  • l'étudiant exige également un mot de passe pour accéder à l'information dans le document donc même si quelqu'un devine le GUID (ou plus probablement un raccourci/url leur est envoyé) alors ils ne peuvent pas voir ce qu'il y a dans le document (ils ne pourront pas voir le montant, l'école pour laquelle il est, etc.)
  • même si le document est récupéré à partir d'un cache Web, il n'est pas visible sans le mot de passe
  • est prête à imprimer
  • il devrait être facilement visible sur d'autres appareils

Source

2010-11-15 21:27:44 slugster

+0

C'est une bonne idée. J'ai trouvé ceci: http://php.net/manual/fr/book.pdf.php au cas où d'autres regarderaient. Et ceci: http://www.idsecuritysuite.com/blog/password-protect-a-pdf-document-in-php pour le cryptage. Je pense que ce sera un "phase 2", problème pour mon projet, mais merci pour la suggestion. –

Questions connexes

 Questions connexes