Tôi đang điều hành một công ty SAAS có trang web tại www.mycompany.comvà tôi có một đối tác kinh doanh có trang web tại www.mypartner.com. Tôi muốn chuyển hướng người dùng đã đăng nhập vào www.mypartner.com cổng thông tin đến www.mycompany.com mà không yêu cầu người dùng đăng nhập lại.
Tôi hiểu rằng oAuth 2.0 là giải pháp phù hợp cho vấn đề này. Tuy nhiên, tôi tự hỏi liệu có bất kỳ lựa chọn thay thế nào nhẹ hơn không, vì khách hàng không sử dụng oAuth (họ có một bảng postgres đơn giản với uname/mật khẩu và một trang web dựa trên php cũ).
Cho đến nay, đây là một giải pháp tôi đã đưa ra:
Người dùng đã đăng nhập vào www.mypartner.comvà do đó, chúng tôi có thông tin chi tiết của người dùng như tên, địa chỉ email, số khách hàng của họ. vân vân
Chúng tôi có thể yêu cầu www.mypartner.com các nhà phát triển để chuyển hướng người dùng đến trang web của chúng tôi tại www.mycompany.com, đồng thời đưa thông tin chi tiết về người dùng vào tiêu đề. Vì cả hai trang web đều là https nên kẻ nghe trộm không thể lấy các giá trị này
www.mycompany.com sau đó có thể tạo/truy xuất người dùng khớp với thông tin đã chuyển, điền trước biểu mẫu, v.v. và tiếp tục công việc
Có bất kỳ nhược điểm lớn trong giải pháp này?
Một mối quan tâm của tôi là bất kỳ ai cũng có thể đặt các trường này vào tiêu đề và đăng nhập đến www.mycompany.com. Để tránh điều này, có thể đảm bảo những điều sau:
- Không ai có thể truy cập www.mycompany.com trừ khi chúng được chuyển hướng từ www.mypartner.com ?
