Passaggio sicuro dei dati critici ad altri domini

1

La mia azienda possiede un dominio A.com e il sottosegretario è su B.com

B.com reindirizza i propri utenti su A.com per le registrazioni degli account. Dopo aver completato la registrazione, A.com accede a tale utente (l'Utente non lo sa), crea un token e deve passare quel token a B.com in modo che B.com mostri che l'utente ha effettuato l'accesso.

Quale dovrebbe essere il modo corretto per passare queste informazioni a B.com in quanto non possiamo scrivere cookie per loro.

Stavo pensando di crittografare il token e A.com e B.com decidono l'encyption da utilizzare. Ma ci sono altri approcci migliori per affrontare questo problema?

    
posta Novice User 15.12.2013 - 09:50
fonte

2 risposte

2

Puoi fare in modo che A.com crei un token casuale a N bit utilizzato come chiave in un keystore. Quindi A.com invia all'utente un link a B.com contenente questo token in chiaro. L'utente accede a B.com con quel token e B.com può contattare A.it "privatamente" e recuperare i dati ad esso associati, dopodiché A.com può invalidare il token in modo che non possa essere riutilizzato.

Dato il breve tempo di andata e ritorno (i link sono tutti i reindirizzamenti che dovrebbero essere gestiti automaticamente dal browser dell'utente), A.com potrebbe essere giustificato nel rifiutare richieste di token per token più vecchi di, ad esempio, 30 secondi:

user  --> B.com "log me in"
B.com --> user  "Go to A.com/logmein/$RANDOM1" { cookie B.com:RANDOM1 }
user  --> A.com "log me in"
(login procedure)
A.com --> user  "Go to B.com/loggedin/$RANDOM2" [START "A" TIMER]
user  --> B.com "my token is $RANDOM2 (and my cookie is $RANDOM1)"
B.com --> A.com "What about $RANDOM2:$RANDOM1?" [STOP "A" TIMER]

Ora A.com ha memorizzato $ RANDOM1 alla prima richiesta, riconosce $ RANDOM2 come di sua creazione, il timestamp è valido, quindi sul link AB può scorrere tutte le specie di informazioni segrete all'insaputa dell'utente.

    
risposta data 15.12.2013 - 12:02
fonte
1

Sembra che tu possa usare qualcosa come il framework di autorizzazione OAuth. Il framework di autorizzazione OAuth consente alle applicazioni di terze parti di ottenere un accesso limitato a un servizio HTTP e ci sono molte librerie disponibili, quindi non è necessario implementare tutto da soli.

Vedi link

    
risposta data 15.12.2013 - 15:42
fonte

Leggi altre domande sui tag