SSO的误区及建议

背景:

SSO统一身份认证,可以节省重复认证开发,也能统一保证安全、可用;

但sso在接入使用时也存在误区,会产生安全风险. 如网站应用先拿到用户口令,再去跟sso交互认证,这个过程中存在风险点

• 应用网站就能拿到口令
• 交互中存在被盗取、劫持的风险

 

sso使用建议

访问网站,先跳转到SSO 认证通过后再回到应用;

这样口令只传给sso,认证通过后再进入应用网站, 而不是应用网站拿到口令去跟sso后台认证,网站应用不做“二传手”,如下图

             建议方案                                                                                                   

 

    不推荐方案