Warning: file_get_contents(/data/phpspider/zhask/data//catemap/2/.net/22.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
.net 在桌面应用程序和网站之间启用单一登录_.net_Asp.net - Fatal编程技术网
Fatal编程技术网
  • .net/
  • .net 在桌面应用程序和网站之间启用单一登录

.net 在桌面应用程序和网站之间启用单一登录

.net asp.net

.net 在桌面应用程序和网站之间启用单一登录,.net,asp.net,.net,Asp.net,我们有一个具有富客户端前端(在.Net中)和管理门户(Asp.Net)的客户机/服务器应用程序。目前,用户必须同时登录富客户端和网站。我们希望使他们能够登录到富客户端,但如果他们从客户端启动网站,则不必登录到该网站。我们怎么能做到呢 换一种方式不太重要,但如果可能的话,最好是登录到网站,然后不必登录到富客户端。您可以在打开网站的URL中添加一个令牌来识别它们 您必须为令牌添加一些安全性:TTL、哈希、salt您可以向打开站点的URL添加令牌来标识它们 您必须为令牌添加一些安全性:TTL、哈希、s

我们有一个具有富客户端前端(在.Net中)和管理门户(Asp.Net)的客户机/服务器应用程序。目前,用户必须同时登录富客户端和网站。我们希望使他们能够登录到富客户端,但如果他们从客户端启动网站,则不必登录到该网站。我们怎么能做到呢

换一种方式不太重要,但如果可能的话,最好是登录到网站,然后不必登录到富客户端。

您可以在打开网站的URL中添加一个令牌来识别它们

您必须为令牌添加一些安全性:TTL、哈希、salt

您可以向打开站点的URL添加令牌来标识它们

您必须为令牌添加一些安全性:TTL、哈希、salt

可能的解决方案是:

  • 登录到富客户端
  • 服务器生成一个随机令牌,并将其存储在已登录用户的位置
  • 富客户端从服务器获取该令牌
  • 该令牌用于指向网站的url中
  • 转到该url(使用富客户端的链接或按钮)将自动登录用户并重置令牌
      • 一种可能的解决方案是:

      • 登录到富客户端
      • 服务器生成一个随机令牌,并将其存储在已登录用户的位置
      • 富客户端从服务器获取该令牌
      • 该令牌用于指向网站的url中
      • 转到该url(使用富客户端的链接或按钮)将自动登录用户并重置令牌
      确保令牌上有一个超时,比如2-5分钟,以确保其真实性。

      确保令牌上有一个超时,比如2-5分钟,以确保其真实性。

      简单的令牌解决方案存在一个设计缺陷:如果需要,您将拥有某种可以反向工程的秘密。如果圆顶正确,则可以完全避免这种情况

      我将提出一个挑战-响应算法

      *)用户使用pw登录到富客户端

      *)从salt+密码计算sha256或类似哈希。(A)

      *)用户klicks“转到网站”链接

      *)http响应启动(如webservice),用户获取用户帐户的“获取票证号”。这张票的有效期很短(几分钟)

      *)客户端计算hash(HashA+票证)HashB

      *)最后-浏览器指向www.example.org/?username=aduck&key=99754106633f94d350db34d548d6091a

      *)服务器检查其计算的哈希值是否与提交的哈希值相同

      这种方法的优点:

      -服务器永远不知道密码,只知道咸哈希

      -即使散列也不会通过有线传输->无重放攻击。

      简单的令牌解决方案存在设计缺陷:您将拥有某种秘密,如果需要,可以进行反向工程。如果圆顶正确,则可以完全避免这种情况

      我将提出一个挑战-响应算法

      *)用户使用pw登录到富客户端

      *)从salt+密码计算sha256或类似哈希。(A)

      *)用户klicks“转到网站”链接

      *)http响应启动(如webservice),用户获取用户帐户的“获取票证号”。这张票的有效期很短(几分钟)

      *)客户端计算hash(HashA+票证)HashB

      *)最后-浏览器指向www.example.org/?username=aduck&key=99754106633f94d350db34d548d6091a

      *)服务器检查其计算的哈希值是否与提交的哈希值相同

      这种方法的优点:

      -服务器永远不知道密码,只知道咸哈希

      -即使是散列也不会通过有线传输->没有重播攻击。

      怎么样

      允许安全API的开放协议 以简单且简单的方式进行授权 来自桌面和web的标准方法 应用程序

      怎么样

      允许安全API的开放协议 以简单且简单的方式进行授权 来自桌面和web的标准方法 应用程序

      如果密码在桌面应用程序上根本不可用,而在网站上只有未知的密码散列可用怎么办?如果密码在桌面应用程序上根本不可用,而在网站上只有未知的密码散列可用怎么办?