问题描述
我只有几个网站,a-service.com,b-service.com,c-service.com,mycompany.com
它们都使用通用的api / auth服务器api.mycompany.com
我们想要做的是SSO,这样,如果用户在其中任何一个上登录一次,就无需在其他站点上重新输入用户名/密码
我认为遵循标准流程将是很好且安全的,但是有人认为遵循以下步骤会起作用。
- 浏览到a-service.com
- 重定向到mycompany.com/login?return_url=a-service.com
- 服务器检查是否存在经过身份验证的cookie(JWT),如果cookie不存在,则让用户登录mycompany.com
- 现在用户必须具有cookie,然后服务器将用户重定向到a-service.com?api_token={JWT}
这绝对似乎是非标准的,但是它可以正常工作,我可以想到的安全性问题是,JWT可以通过Web服务器日志的浏览器历史记录公开(给出严格的https)
除了此以外,还有其他重要的安全问题吗?
我有点担心非标准实施,但是找不到关键问题
以下附件表示标准sso流量
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)