Single sign on 如果使用单个api/auth服务器，是否可以跳过SSO的几个步骤？_Single Sign On_Openid_Openid Connect

Single sign on 如果使用单个api/auth服务器，是否可以跳过SSO的几个步骤？

single-sign-on openid

Single sign on 如果使用单个api/auth服务器，是否可以跳过SSO的几个步骤？,single-sign-on,openid,openid-connect,Single Sign On,Openid,Openid Connect,我有几个网站，a-service.com，b-service.com，c-service.com，mycompany.com 它们都使用公共api/auth server api.mycompany.com 我们想要做的是执行SSO，这样，如果用户在其中任何一个站点上登录一次，就不需要在其他站点上重新键入用户/密码我认为遵循标准流程会很好，也很安全，但有人认为遵循这些步骤是可行的浏览a-service.com 重定向到mycompany.com/login？return\u url=a-se

我有几个网站，a-service.com，b-service.com，c-service.com，mycompany.com

它们都使用公共api/auth server api.mycompany.com

我们想要做的是执行SSO，这样，如果用户在其中任何一个站点上登录一次，就不需要在其他站点上重新键入用户/密码

我认为遵循标准流程会很好，也很安全，但有人认为遵循这些步骤是可行的

浏览a-service.com

重定向到mycompany.com/login？return\u url=a-service.com

服务器检查是否存在经过身份验证的cookie（JWT），如果cookie不存在，则允许用户登录mycompany.com

现在用户必须拥有cookie，然后服务器将用户重定向到a-service.com？api_token={JWT}

它看起来显然是非标准的，但它是有效的，我能想到的安全问题是，JWT可以通过web服务器日志的浏览器历史记录（给定严格的https）暴露出来

除此之外，还有其他重要的安全问题吗

我有点担心非标准实现，但找不到关键问题

以下附件是标准sso流的表示