前端开发人员没有SSO的经验所以请耐心等待。热衷于对以下内容提出高级别建议,因为我可以理解它可能会有所不同。
我们有一个客户端设置SSO登录我们的网站,我试图了解如何安全地通过AJAX从我们的域中调用他们的web服务来获取用户信息。看看他们的服务,他们要求提供用户名和密码,我认为这是不可行/可行的,因为我认为我们的系统需要将密码暴露给前端似乎不安全......他们提到他们可以通过这些http,但这似乎也不安全!
我们是否有某种方式可以通过SSO验证网络服务,还是有其他方式?
由于
答案 0 :(得分:0)
继续我的评论,我们正在推进使用用于我们的SSO的共享加密方法(ECB模式下的TripleDES)来加密Web服务请求中的令牌