Garantire le credenziali passate al servizio Web

softwareengineering.stackexchange https://softwareengineering.stackexchange.com/questions/177105

Domanda

Sto tentando di progettare un singolo segno sul sistema da utilizzare in un'architettura distribuita. In particolare, devo fornire un modo per un sito Web client (ovvero un sito Web su un diverso dominio/server/rete) per consentire agli utenti di registrare account sul mio sistema centrale.

Pertanto, quando l'utente intraprende un'azione su un sito Web del cliente e tale azione è ritenuta richiedere un account, il client produrrà una pagina (sul proprio sito/dominio) in cui l'utente può registrarsi per un nuovo account fornendo un'e -mail e parola d'ordine.

Il client deve quindi inviare queste informazioni a un servizio Web, che registrerà l'account e restituirà un valore di tipo token di sessione.

Il client dovrà hash la password prima di inviarla attraverso il filo e il servizio Web richiederà HTTPS, ma questo non sembra abbastanza sicuro e ho bisogno di alcuni consigli su come posso implementarlo nel modo più sicuro possibile.

Alcuni altri pezzi di informazioni pertinenti:

  • Idealmente preferiremmo non condividere alcun codice con il client
  • Abbiamo preso in considerazione il reindirizzamento dell'utente su una pagina sicura sullo stesso server di WebService, ma è probabile che questo venga respinto per motivi non tecnici.
  • Quasi certe dobbiamo sale la password prima di hashing e passarla, ma ciò richiede al cliente di a) generare il sale e comunicarci a noi, oppure b) vieni a chiederci il sale - entrambi si sentono sporchi.

Qualsiasi aiuto o consiglio è molto apprezzato.

Nessuna soluzione corretta

Autorizzato sotto: CC-BY-SA insieme a attribuzione
scroll top