Verificar respuesta del servidor [cerrado]

0

Tengo 3 componentes: Mi servidor (llamémoslo server A ) y otro no accesible server B . El tercer componente es una extensión (escrita por mí) para un marco. Este código de extensiones está abierto y cualquiera puede acceder a él.

Mis usuarios tienen este marco y mi extensión instalada en server B . La extensión genera una URL ( index.php?validate ), que debe usarse al registrarse en server A. . Al enviar el registro, server A accede a esta URL y verifica la respuesta. Si la respuesta tiene un código de estado de 200 y devuelve la respuesta json {"success": true} , el registro se realiza correctamente.

El objetivo es asegurar que el usuario haya instalado la extensión en su server B .

¿Cómo es esto posible?

Problemas: En este momento, el usuario podría simplemente crear la página index.php?validate y devolver una respuesta json estática sin usar mi extensión, ya que solo podrían buscar el código de la extensión y verificar cómo La respuesta tiene que parecer. Enviar una identificación aleatoria con la solicitud de server A y devolverla dentro de la respuesta de server B también es inútil, ya que solo pueden depurar la solicitud del servidor A.

¿Hay alguna forma de validar la existencia de mi extensión en server B , cuando alguien puede acceder al código de extensión?

    
pregunta Chris 26.07.2017 - 21:37
fuente

1 respuesta

3

Dado que el código de la extensión está abierto y no se requieren secretos adicionales para calcular la respuesta correcta a una solicitud del servidor, es imposible saber si la respuesta fue realmente calculada por la extensión instalada en el servidor B, por la extensión en ejecución en otro lugar o mediante un código que reimplementa las partes relevantes.

    
respondido por el Steffen Ullrich 26.07.2017 - 22:04
fuente

Lea otras preguntas en las etiquetas