一个SSO方案,请大家评价评价
我们是一家公司的管理系统(B/S架构)供应商之一,最近企业方要上某友的门户系统,涉及到SSO的解决方案,某友提出他们的标准产品方案如下:
1:用户登录门户系统
2:用户从门户提供的链接跳转到管理系统
3:若第一次跳转,门户系统弹出登录窗体,让用户填写在对应管理系统中的用户名、密码
3.1:门户系统使用内部加密算法对密码进行加密,然后将用户名和加密后的密码发送给管理系统
3.2:管理系统使用门户系统预先提供的解密方法解密得到密码,验证用户身份
3.3:验证通过后,门户系统将本次用户输入的登录信息保存在凭证记录表中,以备下次跳转
4:若不是第一次跳转,门户系统直接从凭证记录表中查询门户帐号对应的管理系统登录信息,并发送给管理系统进行验证
有人说这方案有问题,想请各位大神们给点意见,谢谢! sso 加密 解密
[解决办法]
SSO的方案应该是用户通过门户认证后,再点击其他系统无需填写账号密码。
实现以上需求可以通过几种方式:
1、门户与管理系统进行密码的同步,是密码一致。
2、采用你提到的方式,这种方式弊端较多,再用户修改密码后容易出现新的问题,且密码存储不安全。
3、可以采用令牌的方式,门户与管理系统建立信任机制,无需传递密码。
以上仅供参考。
