Link di accesso istantaneo per utenti da siti di terze parti attendibili

1

Sono proprietario dell'app Web "A" e desidero lavorare con un servizio di terze parti "X". L'utente "Alice" ha account su entrambe le piattaforme. L'App A conosce l'ID utente di Alice su X, ma a X non interessa che Alice sia su A o meno.

Voglio fornire al servizio X un meccanismo di facile implementazione che consenta ad Alice di fare semplicemente clic su un collegamento quando si accede a X e - quando non è già connesso - accedere al proprio account nell'app A, dato che A conosce già Alice, naturalmente.

Per la maggior parte mi fido del servizio X in questo scenario. Quindi stavo pensando di dare loro una chiave segreta con cui generare un token JWT di breve durata. L'app A può semplicemente controllare quel token e registrare Alice nel suo account.

Ci sono problemi con questa idea o alternative ovvie? Ho pensato a OAuth, ma ciò significherebbe che il servizio X deve diventare un provider OAuth, che non è richiesto o non dovrebbe diventare. Inoltre, non ho bisogno di accedere a nessuno dei dati di Alice su X o di controllarne il nome o altro.

    
posta webjunkie 21.07.2016 - 17:50
fonte

1 risposta

1

JWT è un modo ragionevole per farlo, così come OpenID o OAuth (con OAuth, ciò che stai facendo è creare un provider che verificherà l'ID utente). Cerca di utilizzare le librerie standard il più possibile: è molto facile ottenere i token errati (abilitando gli attacchi di riproduzione e simili). Inoltre, tutte le comunicazioni devono essere crittografate (TLS).

    
risposta data 21.07.2016 - 18:57
fonte

Leggi altre domande sui tag