我有一个使用 HTML 和 JavaScript 构建的 Web 应用程序。在我的应用程序中,我必须与多个其他网站集成。为此,我必须使用通用的安全身份验证/授权机制。我对其他应用程序和身份验证/授权机制的控制有限。
我最初考虑将密码保存在 cookie 中,并在 URL 中发送所有应用程序的用户名和密码。这种方法根本不安全。
我考虑过使用摘要访问身份验证或公钥身份验证的其他选项。
然后我遇到了基于声明的身份验证机制。
我应该为我的 Web 应用程序选择哪种机制?
另外,我必须做些什么来维护安全的身份验证会话?