假设我们有X个应用程序 - 一个'主'和2个'奴隶'。
现在,奴隶在子域上运行,保留所有数据并且拥有很少的API(连同它自己的自定义完整CRUD管理)
现在,在域上,我希望运行一个“主”应用程序,它将从所有子域(通过API)获取所有数据并显示它[仅读取&导出访问]在一个地方,所以如果你只想查看记录并进行导出,你可以通过每个子域的一个webapp来完成所有这些。
但是,当您需要编辑数据时,您需要登录到子域应用程序,我希望尽可能无缝地执行此操作,因此只需单击登录(在其应用程序中“编辑此记录”)即可但是,我想尽可能安全地做到这一点。
我正在考虑发布SHA1(登录+安全短语)和引用来检查[这也是一些重要的API调用],我只是不确定它是否是最安全的选项(同样,我们可能会引入SSL)之后的一层,但不应以任何方式干扰这一点。)
那么还有更好的选择吗?
答案 0 :(得分:0)
不要使用SHA1,如果可以,请使用SHA512。此外,nonce系统可能很好实现: Cryptographic nonce
答案 1 :(得分:0)
当然,三重DES加密字符串足够安全吗?我要添加的只是时间限制,所以它只能在5秒钟的窗口内使用。这样,如果有人确实掌握了它,他们就不能自行决定自动登录。