那些遇到过的问题

如何安全地进行跨域身份验证?

cra*_*ish 12 security authentication session

所以.我有域A.com,其用户身份验证在域B.com完成.目前我设置了这样,以便登录表单发布到B.com,如果成功,则设置会话cookie并激活重定向到Aloglogged.但是,当表单发布到B.com并且cookie设置为该域时,当我从A.com执行JSON请求时,会话cookie不可用,我不知道他们是否登录.那么问题就变成了,如何解决这个问题呢?

我一直在考虑一个解决方案,其中我会向重定向uri添加一个令牌,然后可以用A.com进行一次身份验证会话创建(浏览器可以使用该令牌来验证与B.com的会话,这样cookie就可以设置为A.com,并且可以在JSON请求中使用.之后令牌将被无效.c).

但是,我不确定这个解决方案有多安全?或者还有其他更安全的解决方案吗?

me_*_*jay 8

您当前的解决方案对我来说很好,可以在这种情况下使用.但是出于安全考虑,您可能希望使用一些良好的加密方法对其进行加密,而不是提供普通令牌,并且基于此可以将服务器配置为authentication token在使用之前对其进行加密和解密.唯一的问题是您需要为您的案例选择最佳算法.

除了这个解决方案,您可以考虑会话管理工具.Session Migration,Session Replication会话共享是我能想到的选项.

以下是Oracle为会话共享提供的解决方案的链接,我认为这对您的情况有帮助.

归档时间:

查看次数:

12656 次

最近记录:

12 年,1 月 前
OpenID和OAuth有什么区别? 927
更多相关链接
相关归档
如何避免开放重定向漏洞并成功登录时安全重定向(提示:ASP.NET MVC 2默认代码易受攻击) 19
我*必须*在我的数据库中存储第三方凭据.最好的办法? 7
ASP.NET为什么会话超时,sessionstate超时设置 6
有哪些方法可以识别网络上登录的用户? 5
sails-auth模块给出了"无法读取属性'loadStrategies'的未定义" 5
聊天程序.我可以使用哪些安全解决方案? 3
会话不会在Rails中持续4 3
在JBoss/JAAS中使用HTTP Request.login 2
AWS安全组和Azure网络安全组是否以相同的方式工作? 2
TypeError:req.session.destroy不是函数 - Express.js 2
难疑归档
如何检查jQuery中是否隐藏了一个元素? 7481
如何让Git"忘记"一个被跟踪但现在位于.gitignore的文件? 4888
如何克隆特定的Git分支? 2804
__str__和__repr__之间的区别? 2545
Java中的"实现Runnable"与"扩展线程" 2023
如何使用sed替换换行符(\n)? 1295
将项目导入Eclipse后,"必须覆盖超类方法"错误 1223
如何在PHP中进行重定向? 1201
使用PHP"注意:未定义的变量","注意:未定义的索引"和"通知:未定义的偏移量" 1119
活动已泄露最初添加的窗口 1117