关于关联登陆的一些问题大家一起讨论下
实现目的,不同域名,不同站点可以绑定登陆,可以限制双向或单向,不需要第三方做跳板。
当前思路
a系统给b系统POST用户名和密码,和关联密钥
b系统判断用户名和密码是否正确,正确就把当前用户绑定数据库,并返回成功标识给a
关联登陆到时候如a到b
a系统post密钥给b系统,b系统核对地址用户和密钥是否和匹配,匹配就新建临时随机码返回给a系统
a系统返回到临时随机码跳转到系统,b系统判断随机码和自己发出的一致就允许登陆,并销毁临时验证码。
以上数据交换全部使用XMLHTTP服务端,所以密钥传输是看不见的,只有临时验证码通过URL传值,用一次就销毁。
当然具体使用的时候还涉及到账户是否被禁用,关联登陆被允许等,这都是其它到细节问题了。
安全保障
因为绑定需要正确的用户名和密码,所以这里到验证应该够了
关联登陆到密钥传输都是服务端,也不用担心泄露
随机码用一次删一次也不存在问题
最主要的是都是需要登陆才可以操作
应该没什么问题里面