使用OpenID的ASP.NET MVC多站點SSO

Question

我正在爲一系列將共享用戶帳戶信息的站點共同制定計劃。這個想法是，一旦用戶使用他們的OpenID登錄，他們可以訪問任何網站，並知道他們是誰。

我可以採用哪些常見模式/最佳實踐來達到此目的？

Answer 1

如果所有網站在其URL中共享一個通用主機名，那麼您可以設置一個auth cookie（FormsAuthentication.SetAuthCookie），指定cookie的路徑爲「/」，以便所有網站都可以看到用戶登錄。

如果這些網站沒有共享一個通用主機名，我認爲唯一能夠真正「一旦登錄，在任何地方登錄（在您的網站環境中）」的唯一方法就是在所有身份驗證發生時一個站點（可能是專門用於驗證用戶的站點）以及其他站點將用戶重定向到該站點以進行身份​​驗證，然後該站點將重定向回。實質上，該認證站點成爲身份提供者，幾乎完全滿足OpenID提供者的角色（事實上DotNetOpenAuth可用於此目的）。由於聽起來您的目標是讓用戶使用其OpenID登錄，因此您的OpenID提供程序可以使用OpenID對該用戶進行身份驗證。您可以編寫自己的純代理OpenID提供程序，只要授權請求中的領域是您信任的網站之一，它就會立即響應checkid_immediate請求。因此，您可以在所有網站中實現單點登錄。

Answer 2

請從微軟考慮以下方式對Web服務安全&做法：

經紀人的身份驗證 - http://msdn.microsoft.com/en-us/library/aa480560.aspx

主要議題是 - Web服務安全

場景，模式，和實施指南Web Services Enhancements（WSE）3.0

http://msdn.microsoft.com/en-us/library/aa480545.aspx

最終你可以做很多事情。我通過使用指向另一個域的一個網站的令牌構建了一個URL，從而實現了簡單的單點登錄。加密的令牌編碼包含要返回到以前的域的詳細信息。在第二個域上接收到傳入請求後，基礎Web服務將使用兩個域都知道的共享私有密鑰來檢查傳入請求的令牌對前一個域是否有效。