我现在有个系统 B ,准备嵌入到对方系统 A 中,假设我有对方账号名的全部数据。那就是对方在 A 已经登录了比如用户名 foo 这个,那么做个两方约定好的加密算法,他直接请求我接口带一个加密串,我解密得到 foo 用户名,直接走跳过密码认证,验证码什么的把用户弄成登录成功,并且跳转到最后登录完的界面,可以吗?
一方面我还不太了解我自己的系统好像用到了 cookie 啥的,还有跨域验证,有影响吗,最后对方那可以新开一个浏览器窗口,地址是我的,不用真的什么嵌入。
另外这方案是不是有点 low 啊,或者有啥安全问题?
1
urnoob 2022-07-20 16:12:52 +08:00
idp 听过没 关键字 jwt ,saml2 ,OAuth2 就是我现在接触的东西。
|
2
evi1j 2022-07-20 19:56:03 +08:00 via Android
推荐 jwt,版本较高的 chrome 会有 same-site 策略,虽然能在客户端解决但是用户学习成本较高
|
3
nutting OP 同志们,我又想了一下,必须得 A 系统当作门户,提供给我一个接口,就是通过它的会话 id 返回用户名的接口,然后用它的会话 id 调我单点单点登录入口,我后台得到用户名做登录,返回最终页面
|