谁能想到一个巧妙的解决方案?我们经营网站服务并向大型组织销售。我们希望能够从组织的 Intranet 页面提供到我们网站的直接链接,而不是让每个人都登录。然后,我们想检查引荐来源网址,如果它在我们的“受信任引荐来源网址”列表中,即 Intranet url,那么我们在不要求凭据的情况下授予登录。
我知道你可以做 $_SERVER['HTTP_REFERER']; 获取推荐人,但我也知道可以被欺骗。谁能想到我们如何才能实现我们想要的,同时又保证它不会被黑客入侵?
提前致谢
问问题
237 次
2 回答
0
这并不是您想要的,而是为了使登录更容易并确保您不需要存储所有可以使用的密码,例如OpenID。
于 2013-08-15T08:23:26.713 回答
0
我认为对此没有完美且安全的解决方案。
一种解决方案是将令牌附加到 url。它会起作用并且会被保存,但是任何知道链接(包括令牌)的人都可以作为该组织登录
另一种解决方案是检查源IP。这可以通过不同的方式完成*apache、负载均衡器、应用程序等)。
令牌 + ip 的组合也可以工作(该组织的此令牌但仅当请求来自该组织的 allowed_ips 时)
一个更优雅的解决方案(我为几家大公司实施)是将您的网站登录与活动记录域登录集成。可以使用当前用户窗口登录作为网站登录,使用域授权。如果用户登录到一个域,当进入您的站点时将自动登录到该站点。
这个解决方案比听起来更容易实现。但是,需要连接到域的活动目录和工作站在公司中(这应该不是问题,大多数公司都在工作站上使用 Windows 和域控制器的活动目录)。也仅在 IE 上工作得最好(直接登录到网站)。在其他浏览器上,将出现域登录弹出窗口,用户必须再次输入域密码。
另外,我很确定它可以在 linux 环境中工作,但我不知道如何。
于 2013-08-15T08:24:01.880 回答