我想创建一个网页,用于根据我给用户的凭据(user1、pswd1等)对用户进行身份验证
只有在用户经过身份验证之后,他才应该能够访问其他一些网站,在web服务器的不同文件夹上,但没有服务器端代码
(否则会很简单。)
应允许用户访问其他网站,例如基于他的IP,
24小时或其他时间,或者当他在浏览器上打开身份验证网站时
如果用户不必在每个站点上输入凭证,并且将只输入一次凭据,或者每天输入一次
限制条件:
- 我根本不想修改目标网站的javascript代码,例如查询web服务
- 应允许用户使用任何浏览器进行访问,所以我想我不能使用cookie
例如,如果我在Apache上开发这样一种机制,我可以让验证站点PHP代码在每个目标web文件夹的htaccess文件中添加一行"Allow from ip",只要用户成功验证
问题是我不想开发它,因为我确信已经存在解决方案,而且我需要Apache和node.js的类似机制(尽管我可以使用两种不同的解决方案)
用户需要哪些信息来识别自己?你如何保证用户是他们所说的那个人?
身份验证的全部目的是确定用户是他们所说的用户,这可能会创建一个会话,这样用户就不需要重新进行身份验证。
如果您希望用户在单个位置进行身份验证,然后在其他地方重用该"会话"或一组凭据,那么您要寻找的是单点登录/身份联合。
例如,以airbnb.com为例,我不需要在那里进行身份验证。我所要做的就是向第三方进行身份验证,例如谷歌或脸书。事实上,SO的工作方式也是一样的。
这种技术背后的标准之一叫做开放式ID连接。调查一下。如果你愿意花钱,你可以考虑商业解决方案,例如Ping Identity。Mitre/麻省理工学院提供了一个开源实现。这里有。
事实上,我突然想到我可以使用简单的路由
在顶级文件夹中有用于进行身份验证的php代码
如果用户被认证、路由/重定向到所请求的目标站点,基于请求的url
url应该是例如http://mysite/site1,其中身份验证代码位于mysite文件夹中,而site1无法直接访问
也许我可以使用类似php express的东西在node.js上重用相同的php代码。