我想知道是否可以通过两个Web服务进行安全的单点登录,其中1个服务器比另一个服务器更安全。更具体一点,不太安全的是vbulletin论坛和更安全的一个网络服务,真正的钱是赚取,撤回等。为了方便用户我想实现安全的单点登录,但寻找在vbulletin的安全跟踪记录中,特别是xss漏洞,甚至是sql注入,那么我不确定sso是否会成为一个可行的选择,如果它会降低更安全服务的安全性。
答案 0 :(得分:0)
停止发明自己的登录系统。像StackOverflow本身一样使用OpenID。这将彻底解决您的问题,您的用户将非常高兴您不要强迫他们记住另一个密码。
答案 1 :(得分:0)
允许使用高保证凭证对低保证系统进行身份验证,前提是不向低保证系统透露长期共享认证机密(参见,例如,NIST特刊800-63) ,Level-2及以上)。这通常需要从凭证服务提供商到依赖方的断言(例如,SAML)。受信任的CSP接受凭证并将其真实性以及可能与订户相关联的其他属性断言给不信任的依赖方(应用程序)。由于与凭证相关联的秘密令牌(例如,密码)永远不会被发送给依赖方,因此该服务中的破坏不会为攻击者提供攻击高保证系统的有用知识。以这种方式存在许多行业标准,例如OpenID和OATH,用于凭证联合。