Oferujemy szereg usług online. Jesteśmy zobowiązani do opracowania systemu, który zapewnia szybkie/proste doświadczenie dla użytkowników, jeśli są one przekazywane z jednej usługi (na domain1.com
) do innej usługi (na domain2.com
).Logowanie do domeny krzyżowej - Automatyczne logowanie użytkownika po przeniesieniu z jednej domeny do innej
Czy istnieje bezpieczny sposób automatycznego logowania użytkownika automatycznie po jego przeniesieniu do nowej usługi?
Krzyknij na mnie, jeśli poniższe rozwiązanie jest całkowicie niezabezpieczone/błędne.
Rozważaliśmy system podobny do tego, który zapewnia wiele usług online służących do odzyskiwania haseł - są one wysyłane e-mailem do łącza z unikatowym hashem, który wygasa, co pozwala im zmienić hasło.
Numer domain1.com
wygeneruje unikatowy skrót i zapisze go w bazie danych z hashem powiązanym z użytkownikiem wraz z datą utraty ważności datetime.
Użytkownik zostanie przeniesiony do domain2.com/auto/?hash=d41d8cd98f00b204e9800998ecf8427e
domain2.com
będzie następny złożyć wniosek do domain1.com
z mieszania, aby uzyskać informacje na temat użytkownika. domain1.com
następnie usunąłby hash z bazy danych. domain2.com
logowałby użytkownika i ustawił plik cookie itp.
Czy coś na podstawie OpenID lub OAuth może osiągnąć takie same wyniki?
Z SSL. Nie możesz grać w man-in-the-middle, jeśli Jack uwierzytelni domenę1.com serwer i ma poufny kanał. – erickson
dobry punkt. Teoretycznie powinno to oznaczać, że model PO powinien być rozsądnie bezpieczny, ponieważ zakłada, że używa SSL. – BenAlabaster