Ho un'applicazione desktop e un'applicazione web. L'utente è connesso all'applicazione desktop. Con un clic su un pulsante o qualcosa che il browser dovrebbe aprire e l'utente deve accedere.
Ora sono un po 'confuso su come implementarlo in modo sicuro. Il mio primo pensiero sarebbe quello di generare un nonce sul server, passare questo all'applicazione che a sua volta genera un URL per il browser. (L'intera comunicazione è su HTTPS). Ma dato che il nonce si troverebbe nell'URL, un MITM non potrebbe semplicemente prenderlo e quindi accedere come utente? Immagino che il browser mostrerebbe un problema con il certificato in caso di un attacco MITM ma alcuni utenti non sono molto esperti, quindi ho pensato che avrebbero semplicemente eliminato qualsiasi errore del certificato.
Questo è un problema perché alcuni di questi utenti sono una sorta di amministratore (la creazione di utenti) quindi sarebbe molto brutto se un utente malintenzionato può accedere.
È possibile accedere automaticamente a un utente da un'applicazione desktop a un'applicazione Web in modo sicuro?