Enviando un token con una solicitud de una aplicación a otra

4

Supongamos que tengo una aplicación escrita en algún lenguaje y marco (por ejemplo, Python + flask), y tengo una gran cantidad de funciones que requieren inicio de sesión y autenticación a través de JWT.

Ahora quiero crear un nuevo módulo creado como una aplicación, posiblemente hecho con diferentes herramientas (django, por ejemplo, o tal vez incluso en un idioma diferente), en su propio pequeño proyecto separado. Esta nueva mini aplicación, que es más un módulo que una aplicación completa, recibirá cierta información del usuario que se ingresó en la otra aplicación, pero también estaba pensando en enviar el token, para que el usuario no tenga que iniciar sesión De nuevo en esta nueva "aplicación". En esencia, una vez que se cumpla una determinada condición, el usuario será redirigido a una nueva página (que es donde entra la nueva aplicación) mientras envía la información de autenticación necesaria y otra información. Nunca he hecho esto antes, pero creo / espero poder encontrar una manera de hacerlo.

¿Sería esta una forma sana / segura de construir esta aplicación, o estoy exponiendo mi sistema a grandes peligros? Si esto último, ¿qué es lo peor que un atacante podría hacer? Básicamente, ¿esto viola algún principio de seguridad?

    
pregunta bitterman 13.01.2016 - 19:20
fuente

1 respuesta

2

Parece que está intentando implementar algo como el inicio de sesión único entre dos de sus aplicaciones. En este caso, debería poder hacerlo sin ningún problema de seguridad importante.

En lugar de autenticarse con credenciales de inicio de sesión, puede hacer que la aplicación B se autentique con el ID de sesión de la aplicación A. Obviamente, proporcione a la identificación las mismas protecciones que le daría a los credenciales de inicio de sesión, es decir, solo envíela a través de HTTPS.

El servidor detrás de la Aplicación B aún tiene que verificar la autenticidad de la ID de sesión comparándola con la Aplicación A del servidor. Mientras la autenticación realizada en la Aplicación A y la administración de la sesión en ambas aplicaciones sea consistente y sólida, No debería haber ningún problema de seguridad.

    
respondido por el Buffalo5ix 14.01.2016 - 01:19
fuente

Lea otras preguntas en las etiquetas