通過加密令牌的SSO

Question

我們需要在一個項目中爲兩個不同的Web應用程序實現單點登錄，其中一個是我們自己的，另一個由其他人實現。對於我們自己的應用程序，我們在數據庫中存儲（加密）用戶/密碼。由於我們的應用程序將被集成到他們的環境中，我們現在需要一種機制來讓我們授權已經在他們身邊登錄的用戶，而不再顯示登錄屏幕。由於我本人不是安全專家，因此我開始閱讀（高級別）關於一些關於SSO的技術，例如， OpenID，Kerberos，SAML，CAS--但我還沒有獲得實踐經驗。

在向錯誤的方向前進之前 - 有人可以爲我提供自己在該領域的經驗，並指出我需要一個框架來使用，或者指出我應該如何使用這個框架？

另外一個信息：客戶談論更喜歡在兩個webapps之間傳遞加密的標記。這有意義嗎？這是否導致某種技術？

Answer 1

我們爲此使用SAML實現（https://svn.softwareborsen.dk/oiosaml.java/sp/trunk/docs/index.html） - 它很容易集成到我們現有的Web應用程序中。

工作方案如下所示：您將有一個登錄頁面，SAML框架將重定向用戶。所以，在成功登錄後，他使用auth令牌獲得了一個cookie，並將其重定向回Web應用程序頁面。您還將擁有一個身份驗證Web服務，您可以調用該服務，傳遞提供的令牌，並且可以從那裏獲取身份驗證憑據（用戶角色等），以便您的所有Web應用程序都可以識別此用戶登錄。