不同域上的跨站点身份验证选项

Question

我们正在考虑为一个非常临时的网站设计一个身份验证系统，该网站需要从另一个站点进行身份验证。总而言之，我们有两个位于完全不同域的站点。 foo.com 是始终存在（并且已经存在）的主要站点。这是用户登录该站点并在登录状态下执行操作的主要位置。该网站将很快进行修改，以提供指向 bar.com 的链接。当登录 foo.com 的用户单击 bar.com 的链接时，他们需要神奇地登录到 bar.com。 （我知道这听起来像是一场安全噩梦，但 bar.com 只是一个短窗口的临时站点，foo.com 上的人们将使用该站点一两天）。我们不允许人们登录 bar.com，这一切都必须发生在 foo.com 上。我们已经尝试在这里找出解决方案，如果有好的解决方案，我们希望提供更多解决方案。他是我们的：

1. 在 bar.com 上，检查引荐来源网址，如果是 foo.com，则让用户登录。这是非常不安全的，很容易被欺骗。我们知道。

2. 登录 foo.com 时，指向 bar.com 的链接有一个特殊的加密查询字符串，代表用户在 foo.com 上的会话。当单击 bar.com 的链接时，让 bar.com 获取该查询字符串并使用 Web 服务将其传递回 foo.com，foo.com 将响应该查询字符串，无论该会话是否合法。这比上面的 1 更安全，因为查询字符串会话信息已加密，并且 Web 服务调用可确保其合法会话。

这里还有其他选择吗？让我重申一下，我们想要一个比上面的解决方案更安全的好解决方案，但这是一个只有某些人才能访问的临时站点。我们知道这听起来像是一个奇怪的安排，但它是针对一个非常特定的网站，由于特定的目的，该网站的生命周期很短。根据要求，我们需要用户仅登录原始站点。预先感谢您对此的任何提示或指示。

Answer 1

我敢说选项 2 是您最好的选择，因为：

1. foo.com 保存原始会话信息
2. foo.com 有一个安全服务，用于经过身份验证的调用，可以从 bar.com 进行验证调用
3. bar.com传递一个包含某种形式的身份验证令牌的令牌
4. ，然后使用仅对 foo.com 和 foo.com 之间的连接有效的预定凭据将令牌传递到 foo.com 的安全回调。 bar.com

跨域 SSO（单点登录）的良好示例：第 1 部分 & 第 2 部分

Answer 2

我认为第二个选项是一个很好的解决方案，您甚至可以在没有网络服务的情况下进行：使 bar.com 的链接包含包含用户名（或用户需要的任何上下文）、随机数（例如随机数）的查询参数)、以及由用户名、用户的IP地址和随机数串联而成的认证码(例如HMAC或数字签名)。那么两台服务器之间就不需要进行通信了，只需要预先共享验证数据（HMAC密钥/签名验证公钥），就可以直接在第二台服务器上验证信息了（记下曾经使用过的信息）防止重放攻击的随机数，但是我猜它们在您的场景中可能不是一个大问题）。