【网络安全】SSO登录过程实现账户接管
未经许可,不得转载。
文章目录
- 正文
正文
登录页面展示了“使用 SSO 登录”功能:
经分析,单点登录(SSO)系统的身份验证过程如下:
1、启动SSO流程:当用户点击按钮时,浏览器会发送一个GET请求到指定的URL: /idp/auth/mid-oidc?req=[UNIQUE_ID]&redirect_uri=[REDIRECT_URI],这个请求包含了一个唯一的标识符(UNIQUE_ID)和一个回调地址(REDIRECT_URI)。这个请求的目的是启动身份验证流程。
2、SSO服务提供者的处理:接下来,SSO服务提供者会处理这个请求,类似于你在使用Google登录时的流程。这个过程中,用户的请求会发送到服务提供者的域名,如果用户之前已经登录,系统会自动执行相应的操作。
3、回调URL:在服务提供者成功验证用户身份后,浏览器会将用户重定向到一个回调URL,比如 /idp/callback,并附带一些参数(code和state)。但是,这个步骤并不会直接返回用户的会话令牌。
4、签发会话令牌:要获取会话令牌,还