你可以将原系统的账号密码做成一个配置的json文件,
然后前端去访问这个文件,账号密码一一对应就可以了。
从第三方系统单点登录到目标系统,
第三方系统会发送token进行验证,通过解析token,
获取相应的用户信息的json串,将其set到自己系统的session中。
要实现这个功能,首先你要将登陆的用户存储到map中,(map是以键值对的方式存储的,你用 userID+IP 作key,用户对象做value,)再将map存到session中,写一个方法,当用户登录时,获取session中的用户,遍历key,如果map中已存在了,就提示用户该用户已经登陆。这是典型的被攻击的代码的范例。1、使用传回用户名的方式,就是一个伪登录,如你所说,我直接不登陆,然后拼接一个URL,就可以完成了认证过程;
2、从安全的角度来说,步骤保证如下:
(1)若无用户的SESSION,跳至登陆服务器;
(2)在认证服务器上完成认证;
(3)返回一个经过加密的串(动态生成,不能每次一样);
(4)解析加密串,提取用户名;
(5)对于应用服务器和认证服务器中,要做签名;
(6)加入检验机制,基于时间是必要的;
总的来说,可以参照于银行的支付操作的认证交互过程。
