你可以将原系统的账号密码做成一个配置的json文件,
然后前端去访问这个文件,账号密码一一对应就可以了。
从第三方系统单点登录到目标系统,
第三方系统会发送token进行验证,通过解析token,
获取相应的用户信息的json串,将其set到自己系统的session中。
// 当点击li菜单时$("li").click(function(){
// 缓存当前点击的li对象
var $this = $(this)
// 获取当前对象是否包含执行的class样式
var thisCss = $this.hasClass("class名")
// 如果当前对象存在class样式(可以理解为当前为选中状态)
if(thisCss){
// 去掉当前样式(未选中)
$this.removeClass("class名")
}else{// 如果不存在某样式
// 添加样式
$this.addClass("class名")
}
})
这是典型的被攻击的代码的范例。1、使用传回用户名的方式,就是一个伪登录,如你所说,我直接不登陆,然后拼接一个URL,就可以完成了认证过程;
2、从安全的角度来说,步骤保证如下:
(1)若无用户的SESSION,跳至登陆服务器;
(2)在认证服务器上完成认证;
(3)返回一个经过加密的串(动态生成,不能每次一样);
(4)解析加密串,提取用户名;
(5)对于应用服务器和认证服务器中,要做签名;
(6)加入检验机制,基于时间是必要的;
总的来说,可以参照于银行的支付操作的认证交互过程。
