基于Web的安全问卷系统的几点思考

Question

我是关于我的学位项目的开始工作，这是与安全的问卷。目前，我正在研究如何开发一个基于web的系统，该系统要求用户登录认证，以便每个用户可以提交一次反馈，但同时反馈是匿名的。

这一解决方案与电子投票方案非常相似。

是否有任何JavaScript框架可应用于此场景，以便用户在身份验证时获得不能追溯到反馈的令牌？或者我会更好地实现一个解决方案的基础上的算法，任何现有的解决方案？

Answer 1

你的问题非常笼统，据我所知，这只不过是一个常规的认证加上数据的匿名化。

用化名来保证不可否认性和匿名性是绝对可能的。您所指的是一个常规的访问控制系统，它包含在大多数常见的框架中。如果您需要更多的企业解决方案，您可以使用Kerberos、Sesame或Diameter来实现SSO。但是对于身份验证和用户管理，任何框架都可以。当用户提交反馈时，您只需将用户数据与数据库中的其他结果合并。

Answer 2

1. 生成密钥- 64+字符
2. 电子邮件密钥
3. 使用预输入的4+数字针散列密钥。
4. 将该哈希存储在数据库表中，其中包含两个字段--散列和要说明的字段
5. 如果钥匙被打开了。
6. 用户单击链接(www.website.com/ link . the ?KEY={KEY})
7. 请求用户输入他们先前分配的引脚，然后散列密钥。
8. 在javascript中提供了PIN。
9. 重定向至www.website.com/HASH b.php?散列={散列}

在这一点上--

Hash can only be recovered if you know the salt (The pin) AND the KEY. One was email, one was set by the user. 

KEY is emailed so the email administrator would have this

PIN + HASH are stored in a database so the DBA has this. But they have no idea what goes to what. 

1. PHP页面将哈希标记为已使用，并生成一个新键
2. 请求用户回答验证码
3. 然后，使用javascipt将AJAX请求发送到包含哈希的PHP页面
4. 密钥使用CAPTCHA答案作为SALT，并将其存储在另一个数据库中。
5. 将新哈希也存储在cookie中。
6. AJAX请求将拉下表单，让用户填写它。THe用户点击提交，表单被发送，cookie被读取。
7. PHP页面写入文件。
8. cronjob将该文件中的散列标记为所使用的，这每1秒运行一次。然后，cron更新文件上的时间戳。
9. 删除Cookie数据。