背景:
SSO统一身份认证,可以节省重复认证开发,也能统一保证安全、可用;
但sso在接入使用时也存在误区,会产生安全风险. 如网站应用先拿到用户口令,再去跟sso交互认证,这个过程中存在风险点
sso使用建议
访问网站,先跳转到SSO 认证通过后再回到应用;
这样口令只传给sso,认证通过后再进入应用网站, 而不是应用网站拿到口令去跟sso后台认证,网站应用不做“二传手”,如下图
建议方案
不推荐方案