我想连接两个不在同一个域上的站点,并通过只登录一个站点来允许用户同时登录这两个站点。
我发现了大量的主题和插件,但大多数都涉及一个父域(site1.domain.com和site2.domain.com)的子域,这不是我想要的。
这两个站点将位于同一台服务器上,因此从其中任何一个访问数据库都不会有问题。
我正在考虑定制插件,它将执行以下操作:
当用户登录到一个站点时,生成一个哈希,存储在DB中,用ID重定向到另一个域/sso,如果ID匹配,也登录到那里并重定向回第一个站点。这样,我就可以避免跨域cookie和iFrame/其他黑客带来的所有浏览器问题。从安全角度来看,所有哈希值将在1分钟内过期,因此无法对ID进行自动(暴力)检查。我甚至可以将其与IP地址和cookie/会话混合使用,以使其更安全。
My questions are:
<什么是最好的方法?对于我正在尝试做的事情,是否有现有的解决方案
最合适的回答,由SO网友:Aram Boyajyan 整理而成
解决方案:两个站点上都有两个(相同的)自定义插件。
成功登录时要触发的工作流:
生成哈希并保存在DB中;30/60秒后过期保存初始目标重定向到ID为的其他站点;在那里进行必要的检查-哈希、IP等。如果一切正常,请以编程方式登录用户,将其重定向回初始目标,这样可以避免所有跨域问题,因为用户将被发送到其他站点;+iframes不会有黑客攻击。
