账号系统的两阶段登录和三阶段登录

单的账号登录是一阶段登录, 也即用户提供用户名和密码, 然后服务器端验证账号和密码是否正确以决定是否成功登录. 一阶段登录其实安全性是非常危险了, 其危险性就在于这个登录流程涉及到的数据都是静态的, 因为用户名和密码一般不会改变.

为了在登录流程中引入动态数据, 必须把流程改为两阶段登录: 1, 获取动态临时 secret salt; 2. 利用 secret salt 加密用户名和/或密码. 而为了实现单点登录(SSO), 还需要利用三阶段登录.

1, 获取动态临时 secret salt

在登录之前, 客户端(浏览器)向服务器请求一个有效期非常短的 secret salt(加密盐), 这个 salt 的有效期一般只有数秒, 将在登录成功或者失败, 或者重新获取新的 secret salt 之后自动失效, 从而保证登录过程即使被截获并重放, 也是无效的.

2. 利用 secret salt 加密用户名和/或密码

用户名和经过加密或者 md5 摘要之后的密码被提交到服务器时, secret salt 并不提交给服务器, 因为服务器端在 session 中保存了这个 secret salt. secret salt 保存在服务器端, 可以避免伪装的 secret salt. 服务器接收到提交的用户名和密码后, 再把数据库的用户名和取出来, 用同样的算法进行加密或者 md5, 然后校验登录状态.

3. 设置跨域 cookie 实现 SSO

为了实现单点登录(SSO), 需要使用三阶段登录流程, 这最后的一步登录被是设置跨域的登录 cookie. 例如, 当用户在 a.com 登录网站时, 如果也希望自动地在 b.com, c.com 等待网站自动登录, 那么就必须将登录 cookie 设置到这些域名之下.

在前面的两个步骤完成登录后, 服务器同时生成一个临时的 token, 这个 token 也有较短时间的有效期, 然后, a.com 的网页把这个 token 带在 URL 中, 利用隐藏的 form(或者 iframe 等)访问 b.com 和 c.com, b.com 和 c.com 的服务器端首先验证临时 token, 如果正确便设置自己域名下的登录 cookie. 最终, 完成了多域名同时登录.