Рейтинг:0

Как я могу гарантировать, что доступ к веб-сайту (реагирующему веб-приложению) возможен только как перенаправление с другого веб-сайта, а не напрямую

флаг in

Я управляю компанией SAAS, веб-сайт которой находится по адресу www.mycompany.com, и у меня есть бизнес-партнер, сайт которого находится по адресу www.mypartner.com. Я хочу перенаправить пользователя, вошедшего в систему, на www.mypartner.com портал в www.mycompany.com без необходимости повторного входа пользователя в систему.

Я понимаю, что oAuth 2.0 — правильное решение этой проблемы. Однако мне интересно, есть ли более легкие альтернативы, поскольку клиент не использует oAuth (у них есть простая таблица postgres с uname/паролями и старый веб-сайт на основе php).

До сих пор это решение, которое я придумал:

  1. Пользователь авторизован в www.mypartner.com, и, следовательно, у нас есть данные пользователя, такие как его имя, адрес электронной почты, номер клиента. и т.д

  2. Мы можем спросить www.mypartner.com разработчикам для перенаправления пользователя на наш сайт по адресу www.mycompany.com, а сведения о пользователе помещаются в заголовок. Поскольку оба сайта https, перехватчик не может получить эти значения

  3. www.mycompany.com затем можно создать/получить пользователя, который соответствует переданной информации, предварительно заполнить форму и т. д. и продолжить бизнес

Есть ли какие-либо существенные недостатки в этом решении?

Меня беспокоит то, что любой может поместить эти поля в заголовок и авторизоваться к www.mycompany.com. Чтобы этого избежать, можно ли обеспечить следующее:

  1. Никто не может получить доступ www.mycompany.com если они не перенаправлены из www.mypartner.com ?
Michael Hampton avatar
флаг cz
Да, с oAuth.
Paul avatar
флаг cn
Рассмотрите возможность использования TLD, соответствующего стандарту RC2606, или [примеры доменных имен второго уровня] (https://datatracker.ietf.org/doc/html/rfc2606#section-3). Использование других URL-адресов может запутать людей или отправить их на зараженные вредоносным ПО домены. Обратите внимание, что mypartner.com — это самовольный домен, где обычно может находиться вредоносное ПО.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.