验证跨站点

Question

我有2点：

• SITE A - 一个asp.net网站
• 站点B - 一个PHP的网站

我们在ASP中的所有用户信息。网站（这实际上是一个Kentico网站）。 现在，业务需求是用户应该能够使用Site B中的相同凭据登录。理想情况下，我们需要登录Site A并导航到Site B的用户，身份验证将自动进行。

是否有办法实现这种认证形式？还是不可能？

Answer 1

这不是一个认证问题，而是一个授权问题。一旦您以任何您想要的方式对用户进行了身份验证，无论您需要哪种技术，您都可能会向他们授予某种令牌，然后您可以使用该令牌将授权授予网站中的不同资源。

在您的情况下，您有两种不同的技术，这只意味着您将无法使用开箱即用的asp.net或php会话管理，但您只需要有一个共同的地方检查会话令牌是否有效，它们属于合法用户，并且该用户有权访问此资源。

如果上述内容很琐碎，对不起，也许您的问题更多地针对位于两个不同域的网站，因此无法使用域cookie来存储会话信息。是这样吗？

Answer 2

对此的规范解决方案是使用像OpenID这样的协议。 OpenID允许网站要求用户使用其他网站进行身份验证，然后兑现这些凭据;使用称为“属性交换”的协议，认证提供者可以提供关于用户的附加数据。

OpenID是StackExchange如何设法使用您的Google帐户（或您正在使用的任何设备）登录您，以及SO网络中的网站如何在您无需登录的情况下识别您的身份。

OpenID的好处在于它是一个广泛使用的协议，所以它可能非常安全并且经过良好测试;您不会冒险编制自己的解决方案，并意外地将您的用户暴露给安全风险。它有很好的记录，并得到广泛的支持。

有一个OpenID framework for .Net它允许你创建你自己的OpenID提供者;它似乎Kentico supports OpenID as an authentication mechanism。 PHP有几个OpenID库（Google是你的朋友）。

您究竟如何实现这一点取决于您的Kentico身份验证如何工作，但原则上，将Kentico用户数据库粘贴到您编写的OpenID提供程序应该相当容易;让Kentico使用它来进行身份验证似乎是一个配置设置。您必须重新编写PHP网站才能使用OpenID;再次，不清楚目前的工作方式，但我无法想象它会比您尝试的其他解决方案更难。

Answer 3

我在.net平台上有类似的问题，我没有选择将它们放在一个子域中。在这种情况下，您可以传递用户名和令牌（表示用户已被站点B认证），也许可以使用加密后的密码对外部数据库进行重新验证，然后将其重定向到站点。在我的情况下，我需要这样做，因为我正在重定向到站点管理员的相应站点CMS。