我正在经营一家 SAAS 公司,其网站为www.mycompany.com,我有一个商业伙伴,其网站为www.mypartner.com. 我想重定向已登录的用户到www.mypartner.com门户网站www.mycompany.com无需用户再次登录。
我知道 oAuth 2.0 是解决此问题的正确方法。但是,我想知道是否有更简单的替代方案,因为客户不使用 oAuth(他们有一个简单的 postgres 表,其中包含 uname/passwords 和一个旧的基于 php 的网站)。
到目前为止,这是我想到的解决方案:
用户已登录www.mypartner.com因此,我们获得了用户的详细信息,例如其姓名、电子邮件地址、客户编号等
我们可以问www.mypartner.com开发人员将用户重定向到我们的网站www.mycompany.com,同时将用户详细信息放在标头中。由于两个网站都是 https,因此窃听者无法获取这些值
www.mycompany.com然后可以创建/检索与传递的信息匹配的用户,预填表格等并继续业务
这个解决方案有什么重大缺点吗?
我担心的是,任何人都可以将这些字段放入标题中,然后登录到www.mycompany.com为了避免这种情况,是否可以确保以下几点:
- 无人可以访问www.mycompany.com除非他们被重定向自www.mypartner.com?