关于网站通用通行证的做法
假设有个域名:www.xxx.com,下边包含了3个二级域名(每个域名均对应同台主机IIS里的一个WEB站点):
1.Pass.xxx.com (通行证)
2.Bbs.xxx.com (论坛)
3.News.xxx.com (新闻)
希望访问每个域名时,当验证会员登陆时,使用 Pass.xxx.com 验证。
问题:由于 COOKIES 没法跨域共享,SESSION 也因为IIS 隔离了站点没法共享。
这时候应该怎么实现会员登陆验证呢?
我的想法:假设某会员登陆 Bbs.xxx.com 验证页面1,该页面将包含用户名、密码等信息的XML片段,发送至Pass.xxx.com的验证页面2,验证页面2对用户合法性进行验证,将结果XML片段发送回Bbs.xxx.com 验证页面1:如果正确,则该XML片段包含了该用户个人信息;如果不正确,则该XML片段包含了错误信息。
Bbs.xxx.com 验证页面1根据接受到的结果,如果该会员登陆合法,则使用SESSION或者COOKIE保存登陆成功信息。
不知道这样做是否可行,存在安全问题吗?
希望有经验的朋友指导下。
问题点数:20、回复次数:2Top
1 楼hax(海曦)回复于 2006-03-02 23:22:09 得分 0
可行。
安全问题有很多地方要考虑,例如谁能访问Pass.xxx.com。Top
2 楼mosquitoxh((IT,中间件,架构)http://it.paiming.org/bbs)回复于 2006-03-07 15:30:05 得分 0
高级的做法使用LDAP或者SSO技术Top
