[英]Transparent login through URL
我要修改两个不同的Web应用程序,即“ Foo”和“ Bar”。
他们都在HTTPS运行,第一个在https://example.com/foo
并在后者https://another.com/bar
。
我的目标是在Foo上放置一个链接,以便我可以在Bar上自动登录。
像这样:
<a href="https://another.com/bar/auth?token=das456s5a4sda2121asae">Click</a>
这些应用程序托管在不同的服务器上,但是它们都可以访问同一数据库。
在上述情况下,使用URL参数对用户进行身份验证之前应该考虑什么?
例如,我将需要生成令牌。 我应该只加密用户+到期日期吗? 关于身份验证令牌生成还有其他建议吗?
我可以启用CORS,但是我将把它留作最后的选择。
不确定是否相关,但是Bar使用Spring-Security
为了获得适当的安全性,您需要为您的SSO(单点登录)使用一些附加服务作为CAS(中央身份验证服务, https: //en.wikipedia.org/wiki/Central_Authentication_Service)。
例如,您可以使用http://www.jasig.org/cas 。
如果您继续使用令牌进行预验证链接,
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.