Im utilisant asp.net mvc et formulaire pour se connecter utilisateur. Je me demande s'il y a un problème avec l'utilisation de jquery pour se connecter à l'utilisateur et ce qui devrait m'inquiéter en termes de sécurité. merciPourquoi ne pas utiliser JQuery pour se connecter?
EDIT: JE NE SIGNIFIE QUE PASSER L'USERNAME ET LE MOT DE PASSE AU CONTRÔLEUR MVC. LE SITE UTILISE BEAUCOUP DE JAVASCRIPT.
Dans 99% des applications Web, JS devrait toujours donner des fonctionnalités supplémentaires (supplémentaires) ou prendre le contrôle des fonctionnalités de base (comme se connecter, envoyer un message, etc.). Mais cette fonctionnalité base ne doit pas reposer uniquement sur JS. N'oubliez pas qu'il y a un petit groupe d'utilisateurs qui n'utilisent pas JavaScript, ou qui utilisent des navigateurs qui ne le supportent pas du tout, et qu'ils ne devraient pas être ignorés.
Ou les gens qui utilisent des addons comme NoScript - http://noscript.net/. –
Personnellement, je pense que cela dépend. Un site web *, je suis d'accord. Une application web * est une histoire différente. Si l'application dépend fortement de jquery, le faire pour la connexion ne devrait pas être un gros problème. – jvenema
Par webapplication, je voulais dire simplement un site web typique. Si notre application (je n'aime pas utiliser ce terme dans le contexte * web *)) dépend de JS/Flash ou de toute technologie "non-HTML" alors elle ne doit pas fournir de "version statique". – Crozin
jQueryjQuery ne traitera pas l'authentification, il ne servira que d'intermédiaire, passant, disons, nom d'utilisateur et mot de passe à votre code d'authentification dans votre application. Il n'y a pas de mal à avoir jQuery manipuler un écran de connexion ou autre, mais à la fin, le code côté serveur est ce que un utilisateur se connecte à
EDIT:. Tout JavaScript vous incluez sur votre site, jQuery ou non, besoin d'être vérifié pour la sécurité. Jetez un oeil à ce jeu de diapositives: Douglas Crockford: Ajax Security pour avoir un aperçu des problèmes. La sécurité est un processus cependant, et vous devez également regarder votre code côté serveur pour vous assurer qu'il répond également à vos attentes en matière de sécurité.
Je pense que la question est plus liée aux implications de sécurité de le faire en utilisant jQuery pour publier les données, plutôt que si tout peut être fait dans un appel API jQuery. –
Je chercherais à hacher le mot de passe avant de l'envoyer au serveur.
Ensuite, vous vérifiez le nom d'utilisateur et le mot de passe haché par rapport au nom d'utilisateur et au mot de passe haché dans la base de données (puisque vous ne devriez pas stocker les mots de passe en clair).
S'il y a un problème autour du PW, alors SSL devrait être utilisé. Tout ce que vous faites avec javascript peut facilement être inversé. –
+1! Effectivement.Se connecter via SSL serait une méthode préférée. –
Comment voulez-vous utiliser JQuery pour vous connecter à un utilisateur? –
@Pekka. Eh bien, vous pouvez capturer le soumettre, et envoyer le message qui, en cas de succès, renvoie les détails de l'utilisateur pertinents dans JSON pour mettre à jour l'interface utilisateur avec. –
Ce n'est pas "se connecter à l'utilisateur" au sens strict du mot. C'est "l'envoi d'informations de connexion à un script qui se connecte à l'utilisateur";) –