Роман Сопов

А что если сделать привязку к доменному имени? Ведь этот плагин можно будет использовать только в веб-приложениях… только вот как быть с внутренними ресурсами? В нескольких компаниях внт. домены могут быть похожи… другое дело если это зоны .ru, .com и т.д.
Или это бред?

Anonym, тогда каждому запросу надо присваивать уникальный номер и дважды его не отрабатывать.
Клиент говорит Серверу я хочу удалить данные, Сервер сохраняет запрос и отправляем Клиент ID запроса. Клиент пересылает это ID Серверу. Сервер удаляем данные и записывает ID. Если злоумышленник передает этот запрос еще раз, то Сервер проверив этот ID ничего не сделает т.к. уже выполнил этот запрос.
Как-то так… других вариантов пока не вижу.

1. Используйте RSA
2. Храните ключ на клиенте в зашифрованном на основе логина и пароля виде.
3. Для авторизации используйте механизм электронной подписи:
   
   • Сервер отправляет случайно сгенерированную строку, типа $sKey = md5(rand())
   • Клиент тоже генерит случайную строку по тому же типу $cKey = md5(rand())
   • Склеиваем строки и подписываем их хэш с помощью закрытого ключа RSA (на JS реализаций полно) типа sign(sha256($sKey+$cKey))
   • Отправляем на сервер подпись и сгенерированную на клиенте строку
   • На сервере проверяем подпись с помощью открытого ключа
   
   

Или используйте Рутокен Web, но это его работы нужно плагин устанавливать.