Sicurezza della registrazione di persone in modo automatico da un'altra app?

2

Ho 2 app. Entrambi hanno account e ogni account ha utenti.

Queste app condivideranno gli stessi utenti e account e saranno sempre sincronizzati.

Voglio poter accedere automaticamente da un'app all'altra.

Quindi la mia soluzione è generare un login_key, ad esempio: 2sa7439e-a570-ac21-a2ao-z1qia9ca6g25 una volta al giorno. E fornire un collegamento di accesso automatico all'altra app ... per esempio se l'utente fa clic su:

https://account_name.securityhole.io/login/2sa7439e-a570-ac21-a2ao-z1qia9ca6g25/user/123

Sono registrati automaticamente, sessione creata.

Quindi qui abbiamo 3 cose che un intruso deve avere ragione per poter accedere; nome account, chiave di accesso e ID utente.

Cattiva idea? O dovrei seguire il percorso di rendere un'app un fornitore oauth? O c'è un modo migliore?

    
posta Simon 25.05.2012 - 08:32
fonte

2 risposte

1

Se fatto correttamente, è una buona idea e migliora l'esperienza utente complessiva.

Leggevo il protocollo Kerberos e ho alcune idee su come implementare. In questo caso, non è necessario reinventare la ruota, poiché molte persone hanno già implementato esattamente ciò che stai suggerendo.

    
risposta data 24.06.2012 - 17:35
fonte
0

Meglio usare il software SSO (single sign on) come LDAP. anche la tua idea va bene. ma il mio suggerimento è di usare le app per quello che sono fatte non per l'autenticazione dell'utente. e se la tua app si è bloccata e sta autenticando l'utente, anche l'altra avrà l'effetto.

    
risposta data 25.05.2012 - 09:29
fonte

Leggi altre domande sui tag