在两个网站之间共享身份验证

Question

在两个站点之间共享登录的最佳/正确技术是什么？

我有网站 A 和一些网站 B。这两种类型都属于同一家公司，但 B 运行在客户端。我想要的是，用户在B中登录，当由于某种原因重定向到A时，他们不需要再次登录，并且可以使用他们在A中的帐户。

当然，公司将为每个用户进行登录“B”用户。问题是用户可以在 A 或 B 中发起登录。OAuth

可以吗？或者OpenID会更合适？

另一种选择是在 GET 字符串中传递 GUID 令牌，具有排序生存时间，并且仅对请求者的 IP 地址有效，但不确定用户是否会通过同一网关访问网站。

谢谢

Answer 1

OAuth 正是您所需要的。 OpenID 提供发现功能，仅当用户选择向谁进行身份验证（而不是您的用例）时才有用。此外，OpenID 更为复杂，并且是一个即将消亡的协议。

在您的场景中，服务器 A 是 OAuth 服务器（或 OAuth 2.0 中的授权服务器），服务器 B 是客户端。有很多方法可以实现这一点，但我建议您首先查看（并尝试）Facebook OAuth 2.0 实现的工作原理。它会让您很好地了解所涉及的内容以及它们的一些扩展（例如显示），这使得它更加用户友好。

Answer 2

您正在谈论单点登录。拥有网站 A 的公司是否在其 api 中提供远程登录？

您需要确保登录信息在传递到网站 A 时是加密的。我构建的最后一个单点登录要求我传递通过 RSA 加密并使用 MD5 散列的用户 AD 名称。第三方拥有用户 AD 名称及其第三方网站密码的数据库。当用户点击链接时，他们的加密信息被发送到第三方的登录API，第三方将他们重定向到欢迎页面，登录过程完成。

如果您自己构建单点登录 API，例如您可以控制网站 A，那么 OAuth 是一个不错的选择。实施起来相当容易。