跨網站的認證方式有哪些? |
|
junlin
初階會員 發表:66 回覆:94 積分:42 註冊:2002-03-13 發送簡訊給我 |
如果有2個網站, 分別是 網站A 及 網站B, 它們有各自的權限控管機制,
在不讓user有再次登入的動作且網站B也不做大幅度的修改的前提下, 若user在網站A登入後, 欲使用網站B的功能, 如何在網站B自動登入呢? 1.A在DB的Table內insert一筆user的帳號密碼資料, 然後把user的帳號傳送到B, B再到DB內取得密碼, 自動登入B網站後刪除DB內A所insert的資料. 優點:不怕user密碼在傳送過程中外流. 缺點:B存取DB的次數過於頻繁. 2.直接把user在網站A的帳號密碼加密過後再傳到網站B, B再自動解密並登入. 例如:http://webB/login.jsp?user_a&password=password_a 優點:登入B時不用去存取DB. 缺點:user密碼在傳送過程中容易被截取. 我想問的是, 若使用第2種方法, 是不是不管A使用哪種加密演算法, 只要在傳送過程中, 加密後的資料被截取了, 爾後, 就算不知道user的原始帳號密碼, 只要有人把截取後的資料完整不動的傳給B, 那還是可以成功登入B網站, 那是否帳號密碼加不加密與不具意義了? 不知道大家有沒有其他的方法呢? |
P.D.
版主 發表:603 回覆:4038 積分:3874 註冊:2006-10-31 發送簡訊給我 |
|
junlin
初階會員 發表:66 回覆:94 積分:42 註冊:2002-03-13 發送簡訊給我 |
|
junlin
初階會員 發表:66 回覆:94 積分:42 註冊:2002-03-13 發送簡訊給我 |
|
junlin
初階會員 發表:66 回覆:94 積分:42 註冊:2002-03-13 發送簡訊給我 |
windows的SSL可以參考這篇設定
http://blog.roodo.com/twpaddy/archives/3440113.html 也就是說A用https://............./login.asp?user=user01&password=pwd01的方式傳給B, 是不怕被截取到帳號密碼的, 但建議只用在登入部分, 不然可能會影響速度 <--這一段是純猜想 ===================引 用 junlin 文 章=================== 後來想想, 這個問題應該可以用SSL來解決. |
本站聲明 |
1. 本論壇為無營利行為之開放平台,所有文章都是由網友自行張貼,如牽涉到法律糾紛一切與本站無關。 2. 假如網友發表之內容涉及侵權,而損及您的利益,請立即通知版主刪除。 3. 請勿批評中華民國元首及政府或批評各政黨,是藍是綠本站無權干涉,但這裡不是政治性論壇! |