我有两个带有会员登录系统的网站。
会员在一个网站上注册。
我希望所有在网站"A"注册的会员都不需要在网站"B"注册。通过使用网站"A"上的凭据,会员应该能够登录网站"B"。
它也应该以一种安全的方式。
您可以在网站A上进行所有身份验证,并使用加密登录到网站B。因此,如果用户登录到网站A,他们将被重定向到第一个网站,并成功进行身份验证,然后使用哈希重定向到网站B.
散列可以是这样的:
sha1( shared_secret + username + time_rounded_to_2_mins )
这可以在站点B上很容易地进行检查,并且由于它包含近似时间,因此不易受到重播攻击。我也做过类似的事情,效果很好。(时间近似允许服务器时钟有一个小的变化,但如果它们超出了近似水平,它就不起作用了。)
最简单的方法是让两个网站共享同一个数据库。只需为两个网站的用户使用相同的表格:在网站A或B注册的用户将能够登录网站A或B.
网站B是否可以访问网站A的数据库?