这是场景:
实现这一点的最佳方法是什么?简单地通过查询字符串在站点之间发送用户标识符是不安全的,即使是加密的,因为其他人可以获得 URL。似乎标准解决方案是将用户标识符与网站 A 创建的另一个临时密钥一起传递,并且网站 B 知道。如果是这种情况,使用临时密钥安全设置系统的正确方法是什么?
谢谢!
【问题讨论】:
我正在做这样的事情。我现在能想到的最好的事情是传递用户 ID 的 HASH,或者如果这让您担心,可以传递一些其他用户数据的哈希。
如果你想要临时密钥(我也可能会这样做),那么如何在 A 上设置一个 Web 服务,B 可以调用它来根据临时密钥获取用户 ID。这样,它是一个完全独立的调用,并且可以得到保护。
【讨论】:
看看“Pass-through Authentication,"”,它是一个允许用户身份从一个系统传递到另一个系统的概念。
此外,您可能想要尝试的另一个想法是创建一个不会公开用户信息并将其传递的安全令牌。但是,这需要两个系统都具有相似的数据来验证令牌。正如另一个答案所建议的那样,哈希是创建有关敏感信息的非描述性位的非常好的用途。
【讨论】:
通过 HTTPS 在两端编写 Web 服务调用,以检索用户详细信息,并且仅适用于特定的登录对。问题解决了。您需要使两端的登录 ID 统一或在 cookie 上使用单点登录。更多详情请参阅 Vipin Samar 的论文:"Single Sign on Cookies for Web Applications"。
除非他们进入其中一台服务器上的应用程序代码,否则他们无法获取 URL/密码。
【讨论】:
您需要在站点 A 和站点 B 之间传递信息,但您不需要让用户成为该信息的渠道。
站点 B 可以具有允许站点 A 为用户创建会话的 Web 服务。在此设计中,交互将如下所示:
【讨论】: