如何解决如果我使用单个api / auth服务器,是否可以跳过SSO的几个步骤?
我只有几个网站,a-service.com,b-service.com,c-service.com,mycompany.com
它们都使用通用的api / auth服务器api.mycompany.com
我们想要做的是SSO,这样,如果用户在其中任何一个上登录一次,就无需在其他站点上重新输入用户名/密码
我认为遵循标准流程将是很好且安全的,但是有人认为遵循以下步骤会起作用。
- 浏览到a-service.com
- 重定向到mycompany.com/login?return_url=a-service.com
- 服务器检查是否存在经过身份验证的cookie(JWT),如果cookie不存在,则让用户登录mycompany.com
- 现在用户必须具有cookie,然后服务器将用户重定向到a-service.com?api_token={JWT}
这绝对似乎是非标准的,但是它可以正常工作,我可以想到的安全性问题是,JWT可以通过Web服务器日志的浏览器历史记录公开(给出严格的https)
除了此以外,还有其他重要的安全问题吗?
我有点担心非标准实施,但是找不到关键问题
以下附件表示标准sso流量
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
