如何实现一个基于cookie的单点登录而不需要SSO服务器?我希望只使用浏览器上的cookie在多个应用程序之间共享用户已登录信息。
我的想法是这样的:
- 用户登录一个应用程序
- 该应用程序验证凭据,然后在浏览器上设置一个存储用户名的cookie(可以用私钥编码)
- 如果用户打开另一个应用程序,则搜索该cookie并读取其中的用户名值(使用密钥解码字符串)
在这种解决方案中,用户可能会看到浏览器cookie(来自另一个用户),并获取用户名的编码字符串。然后他可以将其添加到自己的cookie中(不好!)。
是否有一些安全的方法来解决这个问题?是否可以使用基于时间戳的控制或类似的东西?
谢谢您提前。
再见
P.S. 我知道我的英语不是很好...对此表示抱歉!
foo.example.com
和bar.example.com
可以共享.example.com
的Cookie。 - regilero