在两个站点之间安全地传递用户

Question

我有我的网站“A”。我将与网站“B”签订一份业务合同，以便当用户在“B”上执行许多与“A”相关的操作之一时，网站“B”（将有许多此类网站）的用户可以将其用户重定向到我的网站。我可以强制直接或通过“B”用户的浏览器将任何信息从“B”传递到“A”，但我（即站点 A）需要验证它们确实来自“B”并自动记录它们进入站点“A”。

我知道 OAuth 在这方面做得很好 - 但仅限于“用户”级别。这里发生的是站点 A 和站点 B 之间的业务合同 - 并且无需为“B”的每个用户进行整个 OAuth 跳圈带来不便...

另请注意，站点“B”用户将被呈现他们需要点击一个表格才能将这些操作传输到我的网站“A”。无论传送给“B”用户的是什么秘密/身份验证数据（如果有），他们都可以看到（并篡改）。我的网站“A”必须防止这种情况发生。

这很接近：在网站之间安全地传输用户。

此处列出的选项：

1. 在两端通过 HTTPS 编写 Web 服务调用，以检索用户详细信息，并且仅适用于特定的登录对。
2. 看一下“传递身份验证”，它是一个允许用户身份从一个系统传递到另一个系统的概念。
3. 我现在能想到的最好的办法就是传递用户 ID 的哈希值，或者如果这让您担心的话，传递一些其他用户数据的哈希值。
4. 站点 B 可以拥有允许站点 A 为用户创建会话的 Web 服务。

但我想知道自从一年半前问这个问题以来，人们是否有不同的看法。

我的问题：

1. 我应该如何实施？
2. 任何现成的 php 实现可以实现这一点吗？

[我已经实现了类似的东西，结果证明这是一个有缺陷的机制，所以我很好奇正确的机制是什么。]

Answer 1

这些网站（即银行与博客）的安全级别是什么？对于非常简单的情况，站点 B 可以缓存 FORM 数据 CHECKSUM。当用户重定向到 A 时，A 可以直接向 B 查询校验和并验证数据。可以在站点之间设置基于 IP 或基于密钥的身份验证以增强安全性。

如果您需要更高的安全性，也许 OAuth 仍然是最佳选择。请记住，用户已已登录到 B，因此他们无需输入任何内容。他们提交的表单实际上可以同时设置 OAuth，这样当用户重定向到 A 时，A 实际上获得了 Token，然后可以通过 OAuth 从 B 检索数据（从而验证数据来自 B）。

除了已经提到的 Shibboleth 之外，还有一个兼容的标准SAML 2.0 您可能会感兴趣，并且这两个协议的 PHP 实现非常好 SimpleSAMLphp 作为现成的 Web 服务以及用于自定义应用程序的库提供。设置这样一个 SSO 联盟的学习曲线并不太陡，而且 SimpleSAMLphp 的文档也非常完善。

但由于这样的 SSO 需要所有 B 都使用 SAML/Shibboleth，并在各方之间建立和维护联合元数据，因此 OAuth 可能仍然是您更好的选择。

Answer 2

您可以使用单点登录系统，例如 Shibboleth。

Shibboleth 系统是一个基于标准的开源软件包，用于跨组织边界或组织边界内的 Web 单点登录。它允许网站以保护隐私的方式为个人访问受保护的在线资源做出明智的授权决策。

如果这对您来说太过分了，只需通过 HTTPS API 通过每个用户唯一的随机散列授予两个站点对彼此站点用户数据的访问权限，该随机散列只需在单击“按钮”时传递即可。