Tengo los siguientes requisitos para el sistema:
- Mis administradores se autentican en los servidores cliente
- sobre http
- Servidor de autorización central
Mi solución se basa en O-Auth:
- el usuario se redirige al servidor de autenticación para comprobar sus credenciales (certificado / contraseña), el servidor guarda el token de autenticación en db con la marca de tiempo y el ID de usuario
- el servidor redirige al usuario al cliente con el token de autenticación en la url
- el cliente se conecta al servidor a través de https que pasan el identificador de autenticación, es secreto e id
- el servidor comprueba si los credenciales del cliente están bien, y si tiene el token de autenticación no caducado en la base de datos (el token de autenticación se elimina)
- si es así, toma las reclamaciones de los usuarios y las devuelve al servidor del cliente
- el servidor cliente luego usa una cookie para autenticar al usuario
¿Es buena idea? ¿Quizás algo como esto ya esté disponible (estoy usando C # mvc)?
¿Pasar el token de autenticación a través del gran riesgo de http?