类Instapaper书签小程序的安全性

Question

我正在尝试制作一个书签小程序，它可以做一些类似于Instapaper做的事情。我需要这个bookmarklet来发送用户正在访问的页面的URL和用户的令牌(这样服务器就可以识别用户)。如何做到这一点？你是否建议我发送一个POST请求，或者更确切地说，通过路由网址(例如http://example.com/USER_TOKEN/URL )？

另外，我需要担心用户的令牌被盗吗？如果是这样，我该如何处理呢？

Answer 1

我需要担心用户的令牌被盗吗

由于您通过纯HTTP传输的所有内容基本上都是未加密的纯文本，是的，您需要担心令牌被盗。

更重要的是，将用户令牌包含到您的bookmarklet中看起来有点像黑客：

1. 如果一台机器被多个用户A、B和C使用怎么办？
2. 用户A和B都在使用您的服务？单独的bookmarklets?
3. User C对A做的事情很生气--在十几个色情网站上点击他的书签听起来很有趣，是吧？

我的建议大致如下：

• 向GET (if you care about performance much)或POST (if you care about getting CRUD right)提交URL，检查用户会话是否存在(显然是通过cookie)。
  • 如果是，则处理您的数据，并以JSONP的形式发送成功回调。
  • 如果不是，则以JSONP的形式发送失败的回调，这会触发“请登录”JSONP

​

对于“请登录”的内容，会给出额外的分数，因为它记住了用户一直试图保存的URL，这样他就不必在登录后重新提交。