1. Accueil
  2. Question et réponse
  3. Est-il possible d'afficher le formulaire de connexion à une application Web externe et de rediriger également vers la page d'accueil de cette application?

Est-il possible d'afficher le formulaire de connexion à une application Web externe et de rediriger également vers la page d'accueil de cette application?

2017-10-18 53 views
0

J'ai une application Web qui, lorsque l'utilisateur clique sur le lien, génère des informations de sécurité et se connecte à une application externe si les informations de sécurité sont authentifiées.Est-il possible d'afficher le formulaire de connexion à une application Web externe et de rediriger également vers la page d'accueil de cette application?

À ce stade de problème de sécurité, je ne veux pas exposer l'URL et demander des informations sur la page web, donc au lieu que je suis à la recherche de solutions pour gérer le processus derrière la scène

Je sais que Apache Components peut facilement envoyer post demande dans POJO, jersey client peut faire aussi bien par le service Web. Cependant, l'exigence ici inclut également de permettre au navigateur de rediriger automatiquement vers la page d'accueil de la 3ème application si le processus de connexion a réussi.

Ma question est ce qui pourrait être la bonne solution pour gérer le processus de connexion et aller à l'application externe à partir du Web.

Source

2017-10-18 Dreamer

Répondre

0

Supposons que vous avez:

  1. publicapp.com
  2. secretapp.com

Mettre en place une API dans publicapp.com POST à ​​la demande initiale à elle-même. Lorsque l'utilisateur soumet le formulaire de connexion initial, il va dire publicapp.com/login. Ce point de terminaison va prétraiter l'information, puis envoyer un serveur à la demande du serveur à secretapp.com/login.

Si secretapp.com/login accepte les informations, il répond à publicapp.com avec succès et publicapp.com redirige le client vers secretapp.com/home, avec un jeton d'authentification à court terme encodé dans un JWT. secretapp.com, échange le jeton à court terme contre un jeton d'authentification complet.

Dans le scénario ci-dessus, le point de connexion réel n'est jamais rendu public. secretapp.com devrait également avoir une liste blanche IP pour n'accepter que les tentatives de connexion de publicapp.com. Vous pouvez également faire beaucoup de filtrage sur publicapp.com pour éliminer les demandes malveillantes sans déranger secretapp.com.

Source

2017-10-18 18:39:51 Trickycm

+0

Merci. '... et publicapp.com redirige le client vers secretapp.com/home.' dans ce cas comment protéger la redirection vers' secretapp.com' sans porter d'autres informations d'authentification pour le secretapp? Semble que la connexion pour publicapp.com est protégée par si la redirection exposée puis secretapp également compromise. – Dreamer

+0

@Dreamer J'ajoute plus de détails qui, je l'espère, couvre ce que vous voulez. – Trickycm

 Questions connexes

  • Aucun problème connexe^_^