.net 在桌面应用程序和网站之间启用单一登录
我们有一个具有富客户端前端(在.Net中)和管理门户(Asp.Net)的客户机/服务器应用程序。目前,用户必须同时登录富客户端和网站。我们希望使他们能够登录到富客户端,但如果他们从客户端启动网站,则不必登录到该网站。我们怎么能做到呢.net 在桌面应用程序和网站之间启用单一登录,.net,asp.net,.net,Asp.net,我们有一个具有富客户端前端(在.Net中)和管理门户(Asp.Net)的客户机/服务器应用程序。目前,用户必须同时登录富客户端和网站。我们希望使他们能够登录到富客户端,但如果他们从客户端启动网站,则不必登录到该网站。我们怎么能做到呢 换一种方式不太重要,但如果可能的话,最好是登录到网站,然后不必登录到富客户端。您可以在打开网站的URL中添加一个令牌来识别它们 您必须为令牌添加一些安全性:TTL、哈希、salt您可以向打开站点的URL添加令牌来标识它们 您必须为令牌添加一些安全性:TTL、哈希、s
换一种方式不太重要,但如果可能的话,最好是登录到网站,然后不必登录到富客户端。您可以在打开网站的URL中添加一个令牌来识别它们
您必须为令牌添加一些安全性:TTL、哈希、salt您可以向打开站点的URL添加令牌来标识它们
您必须为令牌添加一些安全性:TTL、哈希、salt可能的解决方案是:
- 登录到富客户端
- 服务器生成一个随机令牌,并将其存储在已登录用户的位置
- 富客户端从服务器获取该令牌
- 该令牌用于指向网站的url中
- 转到该url(使用富客户端的链接或按钮)将自动登录用户并重置令牌
- 登录到富客户端
- 服务器生成一个随机令牌,并将其存储在已登录用户的位置
- 富客户端从服务器获取该令牌
- 该令牌用于指向网站的url中
- 转到该url(使用富客户端的链接或按钮)将自动登录用户并重置令牌
- 一种可能的解决方案是:
-即使散列也不会通过有线传输->无重放攻击。简单的令牌解决方案存在设计缺陷:您将拥有某种秘密,如果需要,可以进行反向工程。如果圆顶正确,则可以完全避免这种情况 我将提出一个挑战-响应算法 *)用户使用pw登录到富客户端 *)从salt+密码计算sha256或类似哈希。(A) *)用户klicks“转到网站”链接 *)http响应启动(如webservice),用户获取用户帐户的“获取票证号”。这张票的有效期很短(几分钟) *)客户端计算hash(HashA+票证)HashB *)最后-浏览器指向www.example.org/?username=aduck&key=99754106633f94d350db34d548d6091a *)服务器检查其计算的哈希值是否与提交的哈希值相同 这种方法的优点: -服务器永远不知道密码,只知道咸哈希 -即使是散列也不会通过有线传输->没有重播攻击。怎么样 允许安全API的开放协议 以简单且简单的方式进行授权 来自桌面和web的标准方法 应用程序 怎么样 允许安全API的开放协议 以简单且简单的方式进行授权 来自桌面和web的标准方法 应用程序
如果密码在桌面应用程序上根本不可用,而在网站上只有未知的密码散列可用怎么办?如果密码在桌面应用程序上根本不可用,而在网站上只有未知的密码散列可用怎么办?