Я управляю компанией SAAS, веб-сайт которой находится по адресу www.mycompany.com, и у меня есть бизнес-партнер, сайт которого находится по адресу www.mypartner.com. Я хочу перенаправить пользователя, вошедшего в систему, на www.mypartner.com портал в www.mycompany.com без необходимости повторного входа пользователя в систему.
Я понимаю, что oAuth 2.0 — правильное решение этой проблемы. Однако мне интересно, есть ли более легкие альтернативы, поскольку клиент не использует oAuth (у них есть простая таблица postgres с uname/паролями и старый веб-сайт на основе php).
До сих пор это решение, которое я придумал:
Пользователь авторизован в www.mypartner.com, и, следовательно, у нас есть данные пользователя, такие как его имя, адрес электронной почты, номер клиента. и т.д
Мы можем спросить www.mypartner.com разработчикам для перенаправления пользователя на наш сайт по адресу www.mycompany.com, а сведения о пользователе помещаются в заголовок. Поскольку оба сайта https, перехватчик не может получить эти значения
www.mycompany.com затем можно создать/получить пользователя, который соответствует переданной информации, предварительно заполнить форму и т. д. и продолжить бизнес
Есть ли какие-либо существенные недостатки в этом решении?
Меня беспокоит то, что любой может поместить эти поля в заголовок и авторизоваться к www.mycompany.com. Чтобы этого избежать, можно ли обеспечить следующее:
- Никто не может получить доступ www.mycompany.com если они не перенаправлены из www.mypartner.com ?
