我需要为两个不同的网站共享相同的身份验证数据库,过程是:
身份验证可能使用服务器到服务器连接来共享身份验证数据,但我的问题是如何处理用户重定向以保持身份验证切换页面和域?
共享已通过身份验证的会话的最常见方式是什么?在重定向 URL 上使用查询参数是否安全?也许是 Oauth 令牌?
事实上,如果您想要一个基于标准的解决方案,OAuth 就是您所追求的。您将在单独的域下拥有一台授权服务器,例如https://login-for-my-sites.example.com 然后,
firstsite
和 secondsite
将成为该 OAuth 服务器的客户端。每个人都可以启动代码流来获取访问令牌。然后服务器负责对用户进行身份验证。由于这是同一台服务器,因此用户只需进行一次身份验证。她的会话将保留在设备上,并且她将在后续 OAuth 流程中自动进行身份验证。