任何人都可以想到一个简洁的解决方案;我们经营网站服务并出售给大型组织。我们希望能够从组织的Intranet页面提供到我们网站的直接链接,而不是为每个人登录。然后我们要检查引荐来源,如果它在我们列出的“可信引用者”中,即内部网网址,那么我们授予登录而不要求凭据。
我知道你可以做$ _SERVER ['HTTP_REFERER'];获得推荐人,但我也知道可以欺骗。任何人都可以想到我们如何能够实现我们想要的东西,但同时也保证它不会被黑客攻击?
提前致谢
答案 0 :(得分:0)
这不是您想要的,但更容易登录,并确保您不需要存储可以使用的所有密码,例如OpenID。
答案 1 :(得分:0)
我认为没有完美而安全的解决方案。
一种解决方案是将令牌附加到网址。它会起作用并且会保存,但是知道链接的任何人(包括令牌)都可以作为该组织登录
另一个解决方案是检查源IP。这可以通过不同的方式完成* apache,负载均衡器,应用程序等)。
还可以使用令牌+ ip的组合(该组织的此令牌,但仅当请求来自该组织的allowed_ips时)
一个更优雅的解决方案(我为几家大公司实施)将是您将网站登录与活动记录域登录集成。可以使用域授权将当前用户窗口登录用作登录到网站。如果用户登录到域,则进入您的站点时将自动登录该网站。
此解决方案比听起来更容易实现。但是,要求连接到域的Active Directory和工作站在公司中(这不应该是一个问题,大多数公司在工作站上使用Windows,在域控制器上使用活动目录)。也是最好的IE浏览器(直接登录到网站)。在其他浏览器上,将显示域登录弹出窗口,用户必须再次输入域密码。
另外,我很确定可以在linux环境下工作,但我不知道如何。