Ich möchte zwei Server haben, Server A und Server B. Server A führt die gesamte Authentifizierung durch (Benutzername und Passwort). Wenn der Benutzer bei Server A authentifiziert wird, sendet der Server A POST-Daten einer Sitzungs-ID, einer IP-Adresse, eines User-Agenten usw. des Benutzers. Server B empfängt all diese Daten über SSL und vertraut Server A und gewährt dem Benutzer Zugriff. Außerdem akzeptiert Server B nur POST-Daten von Server A mithilfe der IP-Adresse von Server A.
Meine Frage ist, dass die Postdaten, die über curl / ssl gesendet werden, während des Datenverkehrs abgefangen oder gestohlen werden können. Kann der Hacker die Session-ID im Klartext sehen (die wichtigste Komponente hier)?
Gibt es etwas, was ich tun kann, um die Sicherheit dieser Methode zu erhöhen?
Sie möchten dies nicht mit PHP implementieren, weil dies einfach mit Webservern alleine erreicht werden kann. Ihr Server A, der SSL behandelt ( es gibt sogar Hardware dafür ) kann als Zentraler Authentifizierungsdienst und als Reverse Proxy für Server B. Es ist ein übliches Setup, um Verantwortlichkeiten zwischen Servern aufzuteilen. Recherchiere diese Themen bitte.
Sie können aus einer Vielzahl von Lösungen dafür wählen, von einer freien Lösungen wie
Und ja, wenn Sie SSL verwenden, ist es sicher genug (im Zweifelsfall ein Audit kaufen).
Nebenbei bemerkt, diese Frage ist wahrscheinlich besser für serverfault.com geeignet.