我们的系统是使用MVC4-EF6-SimpleMembership构建的。
我现在已经挣扎了两天,如何让联盟公司网站登录我们的系统。
我想要实现的是从他们的网站到我们的网站的简单GET(我们会检查请求来自他们的域),他们会在其中传递密码的加密或散列以及用户名(不进行散列/加密) )。
事实证明我没有加密/哈希密码,我可以给他们使用它并登录,也没有办法恢复密码以便自己哈希,最重要的是设法从代码中登录。
此外,我还没有找到在 webpages_Membership 表格中使用加密密码字段的方法。我认为这将是发送给我们的联盟会员的令牌,但是看不到任何用途。
有什么想法吗?
P.S。
我知道 OAuth 的可能性,但我害怕浪费时间搞清楚,然后依赖联盟网站。这是一种错误的做法吗?
非常感谢您的帮助。
答案 0 :(得分:2)
这整个方法都是一个非常糟糕的主意,并且可以非常轻松地将您的应用程序打开,直至黑客。如果您要继续前进,即使花费时间,您确实需要了解有关如何与受信任的第三方进行身份验证的更多信息。现在它耗费了你的时间,从长远来看,它可以为您节省责任。
我现在还不清楚他们登录的用例。如果是人类登录,只需提供“正常”凭据并让他们正常登录(即通过网页POST获取会话cookie等)。
如果您正在寻找一种方式让其中一个应用程序代表某人执行操作(例如,cron作业或启用与其服务的集成),那么您应该考虑提供API(不使用网站本身但是REST或SOAP API)。这也有很多机制(Javascript Web Tokens,SAML断言等)。
最后,如果您打算在其网站上的某个用户授权其网站提取有关您用户的信息,或根据用户的意愿执行操作,那么这就是OAuth的“最佳位置”。
不继续执行您发布人员密码哈希的计划。这不是auth的工作方式,即使这样做也是个好主意。标准存在是有原因的。