关于sso的思路 大家帮我看看是否安全

这几天在研究单点登录,看了一些文章

我的思路:
通过sso.a.com登录,生成一个token保存到公共缓存中(打算用redis),同时保存到浏览器的cookie中

访问子系统b.com时,b.com系统获取cookie访问公共缓存进行鉴权,鉴权失败重定向sso.a.com的一个页面,该页面判断是否登录

如登录,则获取sso.a.com下cookie中的token,再重定向到b.com的一个页面并携带一个加密的token参数,如:b.com/ssologin?token=abcd123456,该页面解密出原token保存到cookie,子系统授权成功

未登录就跳转到登录页

我已经测试成功了,可以达到单点登录的目的,我对安全方面的知识了解太少,不知道有没有啥问题,求大家帮忙分析分析

阅读 1.5k
1 个回答
撰写回答
你尚未登录,登录后可以
  • 和开发者交流问题的细节
  • 关注并接收问题和回答的更新提醒
  • 参与内容的编辑和改进,让解决方法与时俱进
推荐问题