远程 Web 应用程序对当前 Web 应用程序中的用户进行身份验证的最佳方式？

Question

一些背景知识，我正在开发一个现有的 Web 应用程序，该应用程序有一组用户，他们可以使用用户名和密码等通过传统的登录屏幕登录。

最近我们成功获得了客户（拥有自己的 Intranet 站点），希望能够让其用户登录到其 Intranet 站点，然后让其用户单击其 Intranet 上的链接，该链接将重定向到我们的应用程序并自动将其登录。

到目前为止，我对如何实现这一点有两个建议：

1. 创建一个带有 2 个参数（“用户名”和“密码”）的 URL，并让 Intranet 站点将这些参数传递给我们（我们的连接是通过 SSL/TLS所以都是加密的）。这可以正常工作，但似乎有点“hacky”，并且还意味着两个系统上的登录名和密码必须相同（并且必须编写某种可以更新用户密码的 Web 服务 - 这也似乎有点不安全）
2. 向 Intranet 提供令牌，因此当客户端单击 Intranet 上的链接时，它会将令牌以及用户名（无密码）发送给我们，这意味着它们已通过身份验证。同样，这听起来有点老套，因为这本质上不是与为每个人提供相同的登录密码相同吗？

总而言之，我追求以下目标：

1. 一种让已经在内联网上经过身份验证的用户登录到我们的系统而无需太多麻烦，并且无需使用外部系统进行身份验证（即 LDAP / Kerberos）的
2. 方法对于这个客户端来说并不是太具体，并且可以很容易地由其他内网实现登录

Answer 1

即使您使用 SSL，您建议的两个选项也不安全。切勿在 URL 上传递凭据，而是使用 POST 将它们放入 HTTP 请求中。

有一个名为 SAML 的标准，它可以用来解决您的问题。挑战在于选择要实施的版本。我会选择 SAML 2.0。

Google Apps 实现 SAML 2.0 风格并允许您使用以下方式进行身份验证您的内联网凭据。就您的应用程序而言，您将是服务提供商，而您的客户将是身份提供商。只要正确实施该标准，您就应该能够支持任何新客户端（身份提供商）。以下是您可能想要查看的 SAML 实现的列表在。如果您需要客户端传递除身份验证信息之外的信息，那么 SAML 可以通过元数据来实现这一点。

您仍然需要实施 SSL 来加密网络流量。

Answer 2

我讨厌回答自己的问题，但我更讨厌没有答案的问题。最后，我们采用了与 SalesForce 的委托身份验证 SSO 实现非常相似的实现。

http://wiki.developerforce.com/page/How_to_Implement_Single_Sign-On_with_Force.com

本质上，该解决方案有一个受信任的站点，称为委派身份验证机构，该站点拥有登录公司 Intranet 的用户列表。

当用户登录公司内网并单击指向我们应用程序的链接时，公司内网会将用户名和生成的令牌（在设定的时间后过期）传递到我们的应用程序。

然后，我们的应用程序将检查用户名是否在我们的网站上，如果是，则将用户名/令牌（以及源 IP 和一些其他参数）发送到委托的身份验证机构。如果所有这些项目都与委派的身份验证机构匹配，则返回 true 并且用户可以登录。如果返回 false，则拒绝用户访问。

我们发现这个系统运行得很好，甚至还实现了一些额外的安全功能，如 SSL、客户端证书、VPN 隧道，甚至限制可以访问站点的 IP 地址和委派的身份验证机构。

我知道回答你自己的问题是不好的形式，但我希望这可以帮助其他可能遇到同样问题的人......