現在、参入障壁が高い潜在的なパートナーとして働いています。クロスサイトサインオンを組み込みたいのですが、SSO/Oauthは取り組むのが少し難しいかもしれません。
安全で軽量なトークンパッシング/ハンドシェイクに関する提案はありますか?Oauthのようなシームレスな統合は必要ありません。Oauthは1つのサイトにアクセスしてログインするだけで、トークン化されたURLを使用して他のサイトに移動できます。
昔のように、キー/値でリモートサイトにアクセスしました。彼らはあなたを確認し、1/0を返します...もちろん、これには中間者攻撃の可能性があります。
何かご意見は?
openid がやっていることのようにやってみませんか?
まず、サービス プロバイダーと ID プロバイダーは秘密鍵を共有します ( http://en.wikipedia.org/wiki/Diffie%E2%80%93Hellman_key_exchange )。これはサーバー間通信です。
次に、認証、ユーザー名パスワード何とか何とか何とかいつものように埋める
次に、ID プロバイダーは、すべての必要な情報 (ユーザーの ID、タイムスタンプなど) + メッセージ認証コード (必要なすべての情報と diffie によって交換された秘密鍵で構成される) を含む http リダイレクト (ユーザーは何が起こっているかを確認できます) をサービス プロバイダーに送信します。 -ヘルマン交換)。メッセージ認証コードについては、http://en.wikipedia.org/wiki/Message_authentication_codeを参照してください。
次に、サービス プロバイダーはその MAC コードを検証し (このサービス プロバイダーは秘密鍵を知っているため)、この http 要求が本当に ID プロバイダーのリダイレクトからのものであることを確認します。