技术ASP.NET、VB.NET 2.0(即将推出4.0(
概述我正在编写一个登录/身份验证门户,这样web应用程序就可以使用它来登录用户,然后他们就可以使用自己的凭据来使用该应用程序。
登录门户将是一个单独的应用程序,最初只能通过外部网和内部网用于某些应用程序;但未来的应用程序将需要通过网络进行身份验证(很乐意作为一个单独的实例来实现(。我基本上希望其他单独的应用程序能够通过这个门户对用户进行身份验证。
所以
- 用户访问应用程序的网址(即www.application.com/http://apps/application-intranet(,然后单击"登录">
- 用户的浏览器被重定向到门户应用程序,并带有查询一串www.loginportal.com/login.aspx?url=www.application.com/login.aspx(或其他页面(
- 用户填写凭据(用户名、密码(,然后单击"登录"按钮
- 浏览器重定向回url,即www.applications.com/default.aspx或login.aspx,并经过身份验证和登录;并且可以使用应用程序
已完成我已经对身份验证本身进行了排序,并将通过dll在本地应用程序中实现为类库。
需要所以我基本上需要知道,如何:-1.将数据发布到门户url(可以是不同的域(。2.用帖子重定向浏览器。3.确保身份验证是安全的,不容易被黑客攻击(我知道如何使用urlencode和htmlencode等(——只是不确定跨域发布数据的含义。
非常感谢您的帮助。。。
干杯,邓肯。
非常难的东西,在这里。如果是我,我会非常依赖Windows Identity Foundation。我相信它可以支持这种情况(实际上还没有做到;我公司的其他人正在开发它(。
好的,所以这就是我最终使用的解决方案:
在原始应用程序(需要身份验证的应用程序;上面的步骤1(中,我将用户重定向到我的登录门户,并将原始url作为get参数。然后用户输入他们的详细信息、用户名和密码。
接下来,服务器端代码对它们进行身份验证,并重定向到一个新页面,在那里我向页面发送一个html表单,其中包括请求日期时间(为了安全起见(以及我想要发送回原始表单的数据的加密字符串(包括请求的日期时间(
我还添加了一个JavaScriptpost方法,它将数据作为表单post发送到原始url。因为我在两端使用相同的类库,所以我可以使用相同的方法加密和解密数据,并且原始请求应用程序拥有所有用户数据,包括检查请求的日期时间的能力(我允许原始应用程序在身份验证和提取之间有一段时间,确保这些时间在5分钟内
工作完成了。
如果有人想要代码,我可以提供,只是现在没有,如果我记得的话,我会发布它。
不是最优雅的解决方案,但它有效,而且安全,所以我很高兴。:(。