Nous offrons un certain nombre de services en ligne. Nous sommes tenus de développer un système qui offre une expérience simple/rapide pour les utilisateurs s'ils sont transférés d'un service (sur domain1.com
) vers un autre service (sur domain2.com
).Cross Domain Login - Comment se connecter automatiquement à un utilisateur lors d'un transfert d'un domaine à un autre
Existe-t-il un moyen sûr et sécurisé de se connecter automatiquement à un utilisateur automatiquement une fois qu'il a été transféré vers le nouveau service? Criez-moi si la solution ci-dessous est complètement non sûre/erronée.
Nous envisagions un système similaire à celui fourni par un certain nombre de services en ligne pour la récupération de mot de passe - ils sont envoyés par courriel un lien avec un hash unique qui expire, qui leur permet de changer leur mot de passe.
Le domain1.com
génère un hachage unique et le stocke dans une base de données avec le hachage lié à un utilisateur avec un champ date/heure d'expiration.
L'utilisateur sera transféré à domain2.com/auto/?hash=d41d8cd98f00b204e9800998ecf8427e
domain2.com
serait ensuite faire une demande de domain1.com
avec le hachage pour obtenir les informations sur l'utilisateur. domain1.com
supprimerait alors le hachage de la base de données. domain2.com
enregistrerait l'utilisateur dedans et placerait le biscuit etc.
Quelque chose basé sur OpenID ou OAuth pourrait obtenir les mêmes résultats?
Avec SSL. Vous ne pouvez pas jouer au man-in-the-middle si Jack authentifie le domaine1.serveur com et a un canal confidentiel. – erickson
bon point. Cela devrait théoriquement signifier que le modèle d'OP devrait être raisonnablement sécurisé tel qu'il est, en supposant qu'il utilise SSL à ce moment-là. – BenAlabaster