Межсайтовая аутентификация Windows и Forms

Question

У меня есть сайт ASP.NET на общедоступном веб-сервере, где пользователи входят в систему с использованием проверки подлинности с помощью форм.

Я бы хотел, чтобы пользователи в некоторых организациях могли автоматически входить в систему через проверку подлинности Windows (в обход страницы входа). Однако, поскольку эти клиенты находятся на множестве разных серверов, я не могу просто встроить безопасность Windows на главный сайт. (Я знаю, что есть статьи о том, как смешивать безопасность Windows и Forms.)

Моя идея состоит в том, чтобы каждая организация установила в свою интрасеть страницу, которая перенаправляет на мой веб-сайт и аутентифицирует пользователя в соответствии с их доменом Windows и именем пользователя. Можно ли этого достичь безопасно? Как я могу это сделать?

Answer 1

То, что вы описали, - это почти федеративная идентификация .

. Помимо страницы на каждом сайте, вам также потребуется веб-служба, которая будет проверять токен..

По сути, поток таков: пользователь заходит на вашу страницу входа, вы перенаправляете его на страницу входа в свою компанию, его страница входа в компанию берет свои учетные данные и перенаправляет вас обратно, возвращая маркер

, который вы затем вызываете.их веб-сервис для проверки токена определяет, кто является пользователем.

Многие публичные API используют эту схему (пример Facebook).

для получения дополнительной информации ищите oauth и федеративную идентификацию.