我有一个名为 A 的门户网站,名为 www.aone.com,它有多个用户。 我有一个名为 B 的门户网站 (www.btwo.com)。这个门户也有用户。
现在我想要的是,使用门户A登录,并添加一个按钮,当我们点击该按钮时,我们可以访问门户B。
注意:两个门户具有相同的身份验证详细信息。这意味着两个用户都保持相同的用户名和密码
我怎样才能弄清楚?
如果我在 Portal A 中添加 iframe,则 iframe URL 是 Portal B 的。 我也验证了用户的身份。但是两个门户都有不同的会话超时,而且条件是从 iframe 中,用户看不到登录或注销页面。
听起来这两个网站有两个完全不同的系统,例如,您所描述的是每个网站都有自己的帐户存储和日志机制,唯一的共同点是帐户信息是相同的。
要拥有公共/共享 SSO 会话,您需要一个集中式身份提供商 (IdP),它可以处理所有身份验证并为该会话颁发 cookie/令牌。然后,网站还可以根据此 IdP 验证会话
这又意味着您的网站/系统必须信任 IdP。
如果您从一个站点登录到另一个站点,您将获得 2 组会话 cookie,如果您自动执行此操作,那么您将面临打开其他漏洞的风险。