Мы предлагаем ряд онлайн-услуг. Мы должны разработать систему, которая обеспечивает быструю/простую работу для пользователей, если они переносятся из одной службы (на domain1.com
) в другую службу (на domain2.com
).
Существует ли безопасный и надежный способ автоматического входа пользователя после его перевода в новую службу?
Кричите на меня, если приведенное ниже решение совершенно небезопасно/неправильно.
Мы рассматривали систему, аналогичную той, которая предоставляется рядом онлайн-сервисов для восстановления пароля - им по электронной почте отправляется ссылка с уникальным хешем, срок действия которого истекает, что позволяет им сменить пароль.
Сайт domain1.com
сгенерирует уникальный хеш и сохранит его в базе данных с хешем, связанным с пользователем, вместе с полем даты истечения срока действия.
Пользователь будет переведен на domain2.com/auto/?hash=d41d8cd98f00b204e9800998ecf8427e
domain2.com
сделает запрос к domain1.com
с хешем для получения информации о пользователе. domain1.com
затем удалит хеш из базы данных. domain2.com
будет входить в систему пользователя и устанавливать куки и т.д.
Может ли что-то на основе OpenID или OAuth достичь таких же результатов?