Security 通过SSO进行身份验证时，密钥或私钥是否安全？

在我工作的地方，单点登录到其他应用程序是非常流行的。然而，在处理我继承的一些代码时，我发现我们的一个第三方（一家大公司）使用一个密钥、时间戳和用户ID的组合在他们的系统中进行身份验证。所有这些信息都通过SSL通过查询字符串MD5散列传递。我的同事和我发现了这一点，因为我们知道这个开源SSO解决方案是如何工作的，所以我们能够简单地生成我们自己的查询字符串并在没有密码的情况下登录到任何人的帐户！不用说，我们很快就消除了这个SSO特性

---

我不是安全方面的专家，但用这种方式，像这样的秘密钥匙不是非常危险吗？特别是因为第三方的SSO连接器是开源的。他们建议每隔一段时间就换一次钥匙，但就像我说的，这似乎太容易了，很难用暴力来改变；猜一个密码等于访问每个人的帐户！请让我知道您的想法和意见，启发我：

SSO的安全级别归结为特定产品的实现。我不是SSO或安全方面的专家。但是OpenID是一个很好的选择：。顺便说一句，StackOvewfloe也在使用OpenID。

只要私钥保持私密性，SSO就相当安全。密钥应该使用512位RSA或其他加密方法加密，因此很难使用暴力。但是，如果私钥和公钥被公开，那么整个系统就会崩溃，而不仅仅是SSO。私钥应该是私有的，不应该暴露给任何人。因此，我已经在想，在这种情况下，密钥是否与私钥相同。如果是这样的话，那么第三方的实现就是不好的。

md5不是一种加密方法。嘿，Rook，woops不是故意这么说的！这正是我更关心它的原因。我假设你的私钥和公钥是用512位RSA加密的。破解密钥不是一件容易的事，除非两个密钥都完全公开。那么你能找到密钥吗？@ShivanRaptor我不确定，第三方来源不可用，但他们的插件是OSS。除了OpenID，我建议使用Facebook SSO/Google SSO给用户一个更友好的用户体验。