Tôi đã đọc một số bài viết về sso nhưng không thể tìm thấy câu trả lời trong đầu. Tôi có một kịch bản như dưới đây:Đăng nhập một lần (SSO) bằng JWT
Kịch bản:
- Công ty của tôi muốn có sso cơ chế sử dụng JWT.
- Công ty có 2 lĩnh vực khác nhau như abc.com như abc và xyz.com như xyz.
- Ngoài ra còn có masterdomain quản lý xác thực ứng dụng khách.
- Người dùng X muốn đăng nhập abc lúc đầu.
- abc gửi các ủy nhiệm để masterdomain và masterdomain xác thực người dùng sau đó tạo ra một JWT đăng nhập để gửi trở lại abc.
- abc giữ jwt này trong cookie.
- Sau một thời gian nếu đăng nhập vào abc được thử trên cùng một máy tính, hệ thống không yêu cầu bằng chứng xác thực và tự động đăng nhập người dùng.
Câu hỏi:
Nếu người dùng cố gắng để mở một trang trong xyz miền, làm thế nào để hệ thống hiểu rằng loggedin người dùng trước khi? Ý của tôi là xyz tên miền không thể truy cập cookie của abc trong đó có jwt. Thông tin nào sẽ được gửi đến xyz cho biết người dùng X đang cố đăng nhập?
Cảm ơn trước
những gì về sự an toàn nếu có một trang web lừa đảo mà người dùng nhập và người dùng sẽ mất thẻ truy cập? không ** ssojwt ** corver trường hợp này? – Vunb
@Vunb, iframe 'chức năng postmessage' đòi hỏi rằng các trang web có nguồn gốc và đích phải được ủy quyền trước đây, nếu không thì trình duyệt sẽ không cho phép nhắn tin, do đó, một kẻ tấn công không thể truy cập token chia sẻ bởi vì nó không nằm trong danh sách trắng – pedrofb