可以在其他网站上进行身份验证吗？

Question

如果我在 website#1 上，我在 website#1 上的登录页面上输入 website#2 的用户名/密码，而 website#1 在幕后向 website#2 发出 httpweb 请求并发布到登录页面。如果我随后导航到网站#2，我应该登录吗？

website#2 使用 formsauthentication，我调用 website#2 上的 httpHandler 并通过查询字符串向其传递用户名/密码。

这应该有效吗？

Answer 1

您尝试执行的操作称为单点登录。您这样做的方式（将值从一个站点发布到另一个站点）可能行不通，因为您使用的技术与黑客可能用来诱骗用户共享其登录信息的技术相同。这称为跨站点请求伪造攻击。 IIS 配置为不允许这样做。

通常，您需要一个中央身份验证系统，两个站点都使用该系统来共享登录信息。这可以通过多种方式完成，包括基于共享数据库的登录系统。谷歌“asp.net 单点登录”以获得更多想法。

Answer 2

站点#1 和#2 是否希望其用户进行单点登录？
如果是这样，请阅读单点登录。这是一个比这里可以解决的更大的项目。 Wrox 有一本关于这方面的好书：
http://www.amazon.com/Professional-ASP-NET-Security-Membership- Management/dp/0764596985/ref=cm_lmf_tit_10

还是我们在想象一些险恶的东西？
如果我们想象一些险恶的事情，那么邪恶站点 #1 就会收集凭据，然后在服务器端自动运行浏览器来开始检查站点 #2 是否使用相同的密码和用户组合。然后服务器将有一个经过身份验证的会话。这不会为访问站点 #1 的用户提供身份验证 cookie，服务器上的 HttpWebRequest 对象将获取身份验证 cookie。站点 #2 无法真正采取任何措施来阻止这种情况，因为来自一台计算机的浏览器请求看起来与来自另一台计算机的浏览器请求非常相似。精心设计的攻击会欺骗浏览器请求的所有元素，使其看起来像是来自浏览器而不是原始的 HttpWebRequest 对象，后者甚至可能不会设置用户代理。

站点 #2 应该停止使用密码和用户 ID，或者如果他们担心这个问题，则应使用 2 因素 ID，或者执行需要 javascript 进行登录的操作，因为欺骗正在执行 javascript 的浏览器比欺骗仅发送和接收 http 的浏览器更困难请求和响应。

Answer 3

尝试在站点之间进行自动身份验证存在太多安全问题。两个站点都需要有一个中央安全提供商，以便安全地完成切换。

我们使用 CA 的 Siteminder 进行跨站点身份验证。实际上，web 1 在 siteminder 服务器上创建一个唯一的会话 ID，并将所有凭据和信息传递给它。 Siteminder 调用 web2 并通过会话变量传递信息。 Web 2 从会话中检索数据并使用它。还有很多事情正在发生，但仅此而已。

为了做到这样的事情，我强烈考虑使用开箱即用的解决方案，因为通常编写自定义安全性通常会达不到。

Answer 4

虽然在某些情况下可以以带有 POST 参数的 HTTP 请求的形式完成此操作，但一旦您浏览到站点 #2，您将不会通过身份验证。

这是因为，通常这些网站会在您的终端存储一个 cookie，并且这些网站是基于域的，这意味着即使您从网站 #1 获取并存储它，cookie 名称也不会与网站 #2 匹配。

此外，站点 #2 可能不容易进行身份验证，这通常是开发人员意识到的安全问题。这也可以被视为 XSS 的尝试。

如果您只是为自己做这件事，我建议您使用 LastPass 并节省大部分费用里面有你的信息。

请重新考虑你的目标以及如何实现它们，这不是方法。

编辑：链接文本。

Answer 5

这可能会起作用，具体取决于网站 #2 上采取的安全措施。对于安全网站来说，这会失败。

我纯粹基于良好的安全性和良好的编码/设计实践而建议不要这样做。

如果您不清楚哪些安全措施可以阻止此问题，您可能应该进行自我教育，以便可以防止在您自己的网站上出现相同的问题。请参阅http://www.owasp.org/index.php/Top_10_2007

Answer 6

由于您的两个站点都使用 FormsAuthentication，您可以轻松地将它们配置为共享 FormsAuthentication 加密方案。

这将允许您自动执行跨应用程序身份验证:)