使用 spring 会话 ID cookie 进行单点登录?
Single Sign-On with spring session ID cookie?
我正在开发一个项目,该项目使用存储在客户端浏览器 cookie 中的 spring 会话 ID,通过 Spring 安全性实现用户身份验证。没有身份验证服务器,同一台服务器管理身份验证和整个应用程序作为一个整体。
因此,我们现在需要通过第三方系统实施 SSO,到目前为止,我所读到的有关此事的所有内容都需要 OAuth 或其他支持外部身份提供者的基于令牌的身份验证实施。我不想迁移身份验证策略,因为我们有点赶时间。
我在另一个具有 OAuth 身份验证的项目上工作,所以我对这个话题并不陌生(虽然也不是真正的专家)。
有人可以对此有所了解吗?我只需要知道是否可以或没有其他方法来迁移身份验证策略。
只有在使用所谓的 'domain cookie' 时,基于 Cookie 的 SSO 才有可能(以一种简单的方式)。从技术上讲,所有应用程序都需要共享相同的 'cookie domain'。然而,从安全的角度来看,这是非常不鼓励的,因为 cookie 劫持是可能的。
我正在开发一个项目,该项目使用存储在客户端浏览器 cookie 中的 spring 会话 ID,通过 Spring 安全性实现用户身份验证。没有身份验证服务器,同一台服务器管理身份验证和整个应用程序作为一个整体。
因此,我们现在需要通过第三方系统实施 SSO,到目前为止,我所读到的有关此事的所有内容都需要 OAuth 或其他支持外部身份提供者的基于令牌的身份验证实施。我不想迁移身份验证策略,因为我们有点赶时间。
我在另一个具有 OAuth 身份验证的项目上工作,所以我对这个话题并不陌生(虽然也不是真正的专家)。
有人可以对此有所了解吗?我只需要知道是否可以或没有其他方法来迁移身份验证策略。
只有在使用所谓的 'domain cookie' 时,基于 Cookie 的 SSO 才有可能(以一种简单的方式)。从技术上讲,所有应用程序都需要共享相同的 'cookie domain'。然而,从安全的角度来看,这是非常不鼓励的,因为 cookie 劫持是可能的。