我需要找到一种方法来设置Web应用程序用户在实际到达网站之前的验证。也就是说,有人浏览到网址,输入用户名和密码,然后根据数据库或其他任何方式对其进行验证。然后,它们会自动重定向到真实的Web应用程序,位于互联网上的不同域上,然后传递用户的详细信息,然后让他们直接访问该站点,而无需再次请求凭据。这必须尽可能安全地完成。
这类问题有哪些选择?
谢谢,
答案 0 :(得分:1)
您所描述的是内部域Web身份验证的典型用例。有多种方法可以做到,
如果两个域都属于同一个应用程序/公司,您只需进行身份验证,然后将一些令牌/机密传递给重定向中的其他域。另一个域可以删除另一个cookie来维护会话。实际上,它是如何在所有热门网站的不同域之间完成的。例如,flickr.com使用yahoo.com登录。
如果域名密切相关(合作伙伴),您可以使用Identity Federation。实现这一目标的最流行的机制是通过SAML。
OpenID(这就是你到达这个网站的方式)。 OpenID使用神秘的登录URL,因此只有精通技术的用户才有意义。普通用户可能会因其复杂的登录过程和同意页面而感到困惑。
OAuth是授权方案。它不是为联合登录而设计的,但您可以使用它。
答案 1 :(得分:0)
查找OAuth或OpenID。