我们提供多种在线服务。domain1.com
如果用户从一项服务 (on ) 转移到另一项服务 (on ),我们需要开发一个为用户提供快速/简单体验的系统domain2.com
。
用户转移到新服务后,是否有一种安全可靠的方式自动登录?
如果以下解决方案完全不安全/错误,请对我大喊大叫。
我们正在考虑一个类似于许多在线服务提供的用于密码恢复的系统——通过电子邮件向他们发送一个带有唯一哈希值的链接,该哈希值过期,允许他们更改密码。
该domain1.com
站点将生成一个唯一的散列并将其存储在一个数据库中,该散列与一个用户链接以及一个过期日期时间字段。
用户将被转移到domain2.com/auto/?hash=d41d8cd98f00b204e9800998ecf8427e
domain2.com
接下来将使用哈希发出请求以domain1.com
获取有关用户的信息。domain1.com
然后将从数据库中删除哈希。domain2.com
将登录用户并设置cookie等。
基于 OpenID 或 OAuth 的东西能达到同样的效果吗?