码迷,mamicode.com
首页 > 其他好文 > 详细

SSO的误区及建议

时间:2020-04-21 15:22:16      阅读:63      评论:0      收藏:0      [点我收藏+]

标签:认证通过   而不是   访问   过程   产生   code   应用   推荐   开发   

背景:

SSO统一身份认证,可以节省重复认证开发,也能统一保证安全、可用;

但sso在接入使用时也存在误区,会产生安全风险. 如网站应用先拿到用户口令,再去跟sso交互认证,这个过程中存在风险点

  • 应用网站就能拿到口令
  • 交互中存在被盗取、劫持的风险

 

sso使用建议

访问网站,先跳转到SSO 认证通过后再回到应用;

这样口令只传给sso,认证通过后再进入应用网站, 而不是应用网站拿到口令去跟sso后台认证,网站应用不做“二传手”,如下图

技术图片

             建议方案                                                                                                   

 

技术图片

    不推荐方案

 

 

SSO的误区及建议

标签:认证通过   而不是   访问   过程   产生   code   应用   推荐   开发   

原文地址:https://www.cnblogs.com/zjdyl/p/12744312.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!