我有两个独立的webapps在不同的机器上运行。它们都要求用户通过身份验证才能访问站点的某些部分。我想做到这一点,以便站点A上的链接转到站点B并自动登录用户。 SSO不是一种选择。我不想以跨环境/机器方式配置它。
然后我最终得到了logontoken机制。站点A在数据库中写入令牌(连同其他信息)并将此令牌传递给站点B.站点B查找令牌,如果有效,则使用其他数据登录该用户。
我现在不知道是否存在可以实现此目的但不需要数据库的机制。例如,您可以将http请求中的用户名和密码发送到网站。如果我们通过在URL中添加查询参数来执行此操作,那么即使是https环境也会是不安全的,因为可以在各个网络点记录URL。我现在正在考虑使用凭据进行https发布。假设在两个站点之间的https连接中无法嗅探请求体(发布数据),我是否正确?
如果这仍然不安全,可以采取哪些措施使其安全?使用MD5加密,然后使用仅由两个站点知道的密钥解密(两个站点都在我的控制之下)?