我已经开发了一个SSO服务器,提供对我的主应用程序的访问,并使第三方应用程序能够通过oAuth2实现获取用户信息。
所有这些事情(登录,用户管理,注册,访问令牌)都是在一个名为" Credentials"的完全独立的项目中开发的。
问题是:在用户体验视角中,我是否应该将此应用的主域用于网站的此部分,例如https://app.com/auth?
我打算将它用作子域名,例如https://credentials.app.com/它更容易,因为我不必创建路径代理(主应用程序是用koajs编写的,Auth服务器是用快递编写的)但我担心有些用户不会在那里插入密码,认为这个网址是假的。 (是的,这些东西确实发生了。)
你有什么建议,你是否也遇到过这种困境?
答案 0 :(得分:1)
最重要的是,您需要确保收集凭据的应用程序提供有效的TLS证书,并且该域反映了用户熟悉的内容,以减少对网络钓鱼的任何混淆。
使用相对于用户登录的应用程序的特定路径可能会很方便,但前提是SSO系统仅用于同一域上的应用程序。如果您要将子域甚至其他域上的应用程序连接到同一个SSO系统(这通常是引入SSO系统的目标),那么您也可以使用单独的(子)域。