所以有一点背景,我正在研究一个现有的Web应用程序,它有一组用户,他们可以通过传统的登录屏幕用用户名和密码登录等。远程Web应用程序在我当前的Web应用程序中验证用户的最佳方式?
最近我们已成功为客户(拥有自己的Intranet站点)评分,他们希望能够让他们的用户登录到他们的Intranet站点,然后让他们的用户点击Intranet上的链接,该链接重定向到我们的应用程序和日志他们自动进入它。
我对如何实现这一迄今为止两点建议:
- 创建这需要2个参数(这是“用户名”和“密码”),并有内部网站通过这些参数的URL给我们(我们的连接是通过SSL/TLS进行的,因此全部加密)。这样可以正常工作,但似乎有点“黑客”,也意味着两个系统上的登录名和密码必须相同(并且必须编写某种可以更新用户密码的Web服务 - 这也是似乎有点不安全)
- 向Intranet提供一个令牌,所以当客户点击Intranet上的一个链接时,它将令牌发送给我们,以及用户名(并且没有密码),这意味着它们被认证。再说一次,这听起来有点不好意思,因为这与提供给每个人使用相同密码登录的基本相同?
所以总结一下,下面的事情后,我:
- 一种方式,谁已经验证Intranet上的用户登录到我们的系统中没有太多的插科打诨,而无需使用外部系统进行身份验证,即LDAP/Kerberos的
- 东西是没有太具体到这个客户端,并且可以很容易被其他企业内部网来实现登录