Non fai la tua idea!
See Is an 'if password == XXXXXXX' enough for minimum security? for some basic password advice for applications. In virtually all cases, a password should be hashed so that the value cannot be retrieved.
Importante: se continui con la tua idea, hai appena memorizzato le password recuperabili per diverse applicazioni in un unico posto , che è molto, molto peggio che violare il principio di recuperabilità per l'applicazione one . Quindi, anche se tali applicazioni hanno implementato buone pratiche di sicurezza, questa fase di intercettazione li infrange tutti.
Single sign-on viene solitamente implementato attraverso un metodo di condivisione di un token di autenticazione (potrebbe essere usato dove ogni applicazione è prodotta dallo stesso fornitore, condividendo campi di database simili e potendo autenticare la validità di tale token) o un singolo server di autenticazione ( OpenId ) o uno degli altri mezzi elencati in quell'articolo.
È always molto complicato e richiede comprensione molto avanzata di questo argomento e della sicurezza in generale.
Quindi, la tua prima impressione era corretta: se è coinvolto SSO , non esiste un modo "facile" per farlo. Il requisito SSO rende questo progetto come se fosse al di là dei tuoi mezzi attuali, specialmente se ti venisse chiesto di "creare una pagina web" che offra SSO.
- Una singola pagina web con collegamenti a diverse applicazioni è ovviamente banale e ti suggerisco di completarla come primo passo.
- Successivamente, ti suggerirei ricerca SSO , capire in che modo si riferisce alle tue applicazioni e riportarle al tuo responsabile.
- Se il tuo manager desidera continuare, guarderei i prodotti SSO esistenti. Costruire una soluzione interna sicura è probabilmente più di quanto tu voglia assumere. Se decidi di costruirlo internamente, apprendi.