问一个子站共享 cookie 安全问题?

2020-03-20 17:12:59 +08:00
 vevlins

假如一家公司有 xx.com ,下面有 a.xx.comb.xx.com

  1. 两个站安全等级要求不同,b.xx.com 有些敏感信息
  2. 为了统一登录,两个站都读取 xx.com 下的 cookie 作为身份认证
  3. 我作为 a.xx.com 的管理,诱导某些具有 b.xx.com 权限的人点击 a.xx.com,并记录下 cookie
  4. 通过工具替换为此人 cookie,就可以登录 b.xx.com

这种问题如何解决呢?各自一套认证是可行的,但是成本可能很高,比如子站很多。

1314 次点击
所在节点    信息安全
2 条回复
linauror
2020-03-20 17:44:54 +08:00
认证用一套,比如只做登录检测和常规权限判断,特殊权限各站点再单独判断了
oott123
2020-03-20 20:14:40 +08:00
你的模型里面每个子站不能互相信任,而都信任中心服务(登录),那么答案就很明显了——看看 OAuth 是怎么设计的。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/654636

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX