我有一个客户想要单点登录到我的应用程序,我正在尝试弄清楚如何实现它。
似乎在理论上,您的站点和 SSO 提供商之间必须共享一个秘密,以便消息可以附加防篡改哈希,或者您的站点必须生成一个 SSO 和用户都可以独立运行的令牌.
我有机会告诉 SSO 提供商我想如何与他们交互,我真的不想处理消息散列和存储秘密,所以我想出了以下方法,在我看来它会起作用。
这是不安全的吗?有另一种/更好的方法吗?
问问题
426 次
1 回答
1
这个想法很好,它与众所周知的生产就绪的Jasig Central Authentication Service协议及其 java 服务器实现jcas非常相似。
CAS 还处理Single Sign Out(不是很明显)、代理、OAuth 集成等。
于 2012-11-06T21:45:03.380 回答