Invio di un token con una richiesta da un'app all'altra

4

Dire che ho un'applicazione scritta in un linguaggio e framework (Python + flask, per esempio), e ho una grande quantità di funzionalità che richiedono login e autenticazione tramite JWT.

Ora voglio creare un nuovo modulo creato come app, possibilmente realizzato con diversi strumenti (django, per esempio, o forse anche in una lingua diversa), nel suo piccolo progetto separato. Questa nuova mini app, che è più un modulo che un'app completa, riceverà alcune informazioni dall'utente che è stato inserito nell'altra app, ma sta anche pensando di inviare il token, in modo che l'utente non debba effettuare il login di nuovo in questa nuova "app". In sostanza, una volta soddisfatta una determinata condizione, l'utente verrà reindirizzato a una nuova pagina (che è dove entra la nuova app) mentre invierà le necessarie informazioni di autenticazione e alcune altre informazioni. Non l'ho mai fatto prima, ma credo / spero di trovare un modo per farlo.

Questo sarebbe un modo sano / sicuro di costruire questa applicazione, o sto esponendo il mio sistema a grandi pericoli? In quest'ultimo caso, qual è la cosa peggiore che un attaccante possa fare? Fondamentalmente, è questo in violazione di qualsiasi principio di sicurezza?

    
posta bitterman 13.01.2016 - 19:20
fonte

1 risposta

2

Sembra che tu stia cercando di implementare qualcosa come il Single Sign-On tra due delle tue app. In questo caso, dovresti essere in grado di eseguire senza alcun problema di sicurezza significativo.

Invece di eseguire l'autenticazione con le credenziali di accesso, è possibile che l'app B sia autenticata con l'ID di sessione dell'App A. Ovviamente dare all'ID le stesse protezioni che daresti ai credenziali di accesso, cioè inviarlo solo tramite HTTPS.

Il server dietro l'App B deve ancora verificare l'autenticità dell'ID di sessione controllandolo dal server per l'App A. Finché l'autenticazione eseguita nell'App A e la gestione delle sessioni eseguite in entrambe le app sono coerenti e solide, lì non dovrebbe esserci alcun problema di sicurezza.

    
risposta data 14.01.2016 - 01:19
fonte

Leggi altre domande sui tag