我希望在辅助域上实现身份验证,这样用户只需登录一个(主)域。所有域共享一个服务器,因此私有数据可以存储在数据库中并安全访问。但是,我正在努力为SSO系统开发正确的握手。
我想使用与Here解释的方法类似的方法。
我遇到问题的部分是:生成一个对用户和会话唯一的哈希值,因此可以对其进行验证,但是在中间攻击中它不能容易受到攻击。
某些域没有SSL,因此需要对其进行安全保护。
我目前的计划是使用base64生成字符串(tempid + sessionid + userip +浏览器信息+时间戳)。
所有这些信息都存储在服务器中,可以在第二个域上重新组合以确定有效性(并检查)。
这足以进行验证还是有更好的方法来做我想做的事情?特别是因为可以模仿IP和浏览器信息。