A ve B ayrı sitelerdeyse işler biraz karışıyor. Ana mantık yine aynı, bir key göndereceksiniz, sonra onu kontrol edeceksiniz. Bu key’in kötü niyetli kişiler tarafından taklit edilememesi gerekli. Tek yönlü encryption algoritmalarından birini de devreye sokmanız lazım.

İlk aklıma gelen klasik PKI yapısı: Bir tane herkesin görebileceği anahtar kelime (public key) ve bir tane de sadece sizin ulaşabileceğiniz bir özel anahtar kelime (private key) düşünün.

Public key + private key bileşimini tek yönlü encryption’dan çıkan sonucu (hash) ve public key’i B sayfasına göndereceksiniz. Sonra B dosyasının içinde yine private + public key’i aynı algoritmadan geçirip çıkan sonucun gönderilen hash ile aynı olup olmadığını kontrol edeceksiniz.

Tek yönlü algoritma olarak md5 ya da sha1 kullanabilirsiniz.
Dikkat etmeniz gereken public key’in her seferinde farklı olması.
Ayrıca public key ve private key ne kadar uzun olursa, kullanılan algoritma da ne kadar uzun olursa deneme yanılma ile bulunma ihtimali o kadar düşer. Mesela sha1 md5′ten daha güçlüdür.

Public ve private key’i yanyana koymak yerine atıyorum “private’ın 3. karakterinden sonra araya public key’i sıkıştır, ondan sonra algoritmayı uygula” gibi işleri karıştırıcı önlemlerle paranoyaklığın sınırlarını istediğiniz kadar zorlayabilirsiniz :)

A sayfasını kullanarak B sayfasından veri çekiyorum. Fakat B sayfasına yalnızca A sayfasının ulaşabilmesini istiyorum. Başka hiçbir kimsenin veya dış uygulamanın B sayfasına ulaşmasını istemiyorum. HTTP_REFERRER kontrolü dışında bunu nasıl yapabiliriz?