ERP单点登录的安全问题!急~
189xxxx8832
811次浏览
编辑于2016年08月12日 13:56:54
总部老师,好:
问题描述:
目前与客户这边的OA系统进行cloud单点登录,我采用的方案是这样:首先由这边中间服务器(二次开发的.net web系统)与OA进行cas交互验证,验证通过后中间服务器再向erp系统发起请求(会带上时效性的密钥串,此密钥串中包含用户名等信息),ERP系统由二开的StartApp插件根据密钥串进行解密后再进行验证(解密出来的用户名从中间表获取密码,然后进行ERP系统登录验证),验证通过后才能进入。这个密钥串我加上时间戳,可以控制有效时间。但是这种方式严格上来说,还是存在安全漏洞:中间服务器再向erp系统发起请求地址,在OA系统登出后,在有效期内还是可以直接访问ERP系统。
诉求:请老师指导一下,是否有更合适的方案可以避免上述的安全问题。
谢谢支持!
推荐阅读