我有一些奇怪的情况要发展。
我的团队必须开发的 MVC Web 系统(或项目是用 Rails 制作的)将依赖来自另一个站点的登录名/密码。
这个想法是,用户将在第三方网站上登录,并且在相关的地方,将存在指向我们网站的链接。当用户点击该链接时,我们需要从站点接收用户的一些数据。
我们无法控制第三方服务器,也无法直接访问他们的数据库。另外,对他们的应用程序/基础设施进行任何更改是一件大事,所以我正在寻找一个影响较小的解决方案。(当然他们会改变一些东西,但会是一个政治问题,所以越少越好)
从我们的观点来看,我们需要确保用户确实来自第三方站点(并且仅来自那里),并且我们没有收到来自攻击者的虚假消息。
他们的网站有一个有效的 SSL 证书。(不知道我的系统是否会有(它应该))不确定它是否相关,但我们认为他们的服务器是一个 oracle 应用服务器,它连接到内部网络中的一个 oracle 服务器。
我首先想到只使用 SSL,但我不知道该怎么做(我必须检查什么,我必须改变什么?)以及是否足够安全。
我的第二个想法是使用 PGP 密钥,然后在发送给我们之前对数据进行唱歌和加密,并且,我们网站的链接将发布到我们服务器上的控件,该控件将验证和解密数据。
有人有任何可以帮助我的提示/指针/想法吗?