autenticación segura entre subdominios alojados por separado

1

Las herramientas web que estamos desarrollando para un cliente requieren una interoperabilidad perfecta con un sistema de administración de usuarios y herramientas de comercio existentes (el "sitio principal"). El sitio principal es construido y mantenido por un tercero. Hemos desarrollado un plan para interactuar con este tercero, pero no estamos seguros de que nuestro plan esté seguro o cómo podría mejorarse .

Sobre las cookies Todas las páginas web estarán alojadas en subdominios de website.com. Por lo tanto, deberíamos poder leer las cookies que las páginas del sitio principal dejan con el cliente.

Gestión de usuarios Los clientes continuarán iniciando sesión utilizando el sistema de administración de usuarios existente en el sitio principal. Si un cliente está visitando anónimamente una página de nuestro subdominio y requiere autenticación, lo dirigiremos al sitio principal. La url que usamos para dirigir a los clientes a iniciar sesión incluirá un parámetro ReturnUrl para que los clientes puedan ser redirigidos una vez que estén autenticados.

Verificaremos si un cliente está autenticado comprobando la presencia de la cookie de seguimiento de la sesión del sitio principal, luego leeremos la cookie de seguimiento de la sesión y luego realizaremos una solicitud segura al sitio principal para obtener más información sobre el cliente asociado con esa identificación de sesión. Necesitaremos saber si la sesión está activa y el nombre de usuario del cliente.

Herramientas de comercio Construiremos una api desde la cual mainsite puede pasar un nombre de usuario y devolveremos metadatos sobre sus artículos de la cesta de la compra. Las llamadas adicionales a la API podrían incluir solicitudes para obtener más información sobre los artículos del carrito de compras.

Con respecto a la seguridad No hemos realizado una auditoría de seguridad en esta propuesta. Sugerimos filtrar toda la comunicación entre nuestros servidores a las direcciones IP en la lista blanca. Todas las llamadas entre nuestros dos lados deben estar encriptadas. Es posible que deseamos considerar una seguridad adicional para evitar el indulto no deseado en los carritos de la compra de los clientes mediante el uso de sus nombres de cuenta.

    
pregunta jedierikb 09.09.2013 - 16:19
fuente

0 respuestas

Lea otras preguntas en las etiquetas