我有一个奇怪的情况要发展。
我的团队必须开发的MVC网络系统(或项目是使用rails制作的),将依赖于来自其他网站的登录/密码。
这个想法是,用户将在第三方网站上登录,并且相关的某个地方将存在指向我们网站的链接。当用户点击该链接时,我们需要从该站点接收用户的一些数据。
我们无法控制第三方服务器或直接访问其数据库。另外,然后对他们的应用程序/基础架构进行任何更改都是BIGDEAL,因此我正在寻找一种影响较小的解决方案。 (当然,他们会改变一些事情但会成为一个政治问题,所以越少越好)
从我们的观点来看,我们需要确保用户真的来自第三方网站(并且只来自那里),而且我们没有收到来自攻击者的虚假消息。
他们的网站有一个有效的SSL证书。 (不知道我的系统是否会有一个(它应该)) 不确定它是否相关,但我们认为他们的服务器是一个oracle aplication服务器,它连接到内部网络中的oracle服务器。
我首先想到只使用SSL,但我不知道该怎么做(我必须检查,我必须改变什么?)以及是否安全。
我的第二个想法是使用PGP密钥,然后在发送给我们之前对数据进行唱歌和加密,并且,我们网站上的链接会向我们服务器上的控件发布帖子,该控件将验证和解密数据。
任何人都有任何可以帮助我的提示/指示/想法吗?
答案 0 :(得分:1)
如果两个服务器都在使用SSL,并且假设服务器至少为您提供了json或xml接口,则可以简单地发出安全请求(例如,使用rest-client)并评估响应你的服务器。
您很可能希望在服务器登录时缓存用户数据,如果找不到用户/密码,请查看其他服务器 - 这样可以减轻负载。