密码代填是一种帮助用户实现自动登录的方式,它通过自动模拟用户填写账号密码的方式来进行登录,严格来说它不属于单点登录范畴,由于国内不少企业采用这种方式来登录日常应用,所以也成为了一种广泛应用的实现单点登录的形式。有人说密码代填很落后,有人说它有特定的应用的场景,那么“密码代填”到底安全吗?是否值得采用?本文就来深入探讨一下。
“密码代填”顾名思义就是程序代替用户填写登录信息表单,实现自动登录的过程。主要有以下几种实现方式。
1. 通过应用提供的接口获取账号密码
某些应用提供了特定的登陆接口,让第三方调用并传递用户名密码,然后就能实现登陆。即,在原本的登陆页面之外,额外提供了一个接口传递账号密码实现登陆。这种方式下密码信息会直接通过网络传输,安全性完全无法保证,这种方式非常原始,不提倡。
2. 通过POST接口直接提交表单
第二种方式是当用户点击应用时,身份认证服务提供商(IAM or IDaaS) 执行一段javascript脚本,直接调用应用的登陆接口,并将账号密码信息,通过POST表单提交的方式,直接向应用传递,直接登录应用。在整个的流程里,服务器通过执行一段javascript脚本,直接传输账号密码,是不会打开应用登录页面的。
这种方式实现起来最为简单,本质上可以理解为机器绕过了浏览器登陆页面,直接登陆了用户身份。
但随着大众网络安全意识的不断提高,现在越来越多的网站开始通过各种方式屏蔽机器直接登陆。其中最为常见的一种方法就是在登陆页面加载的时候添加随机Token——在登陆表单提交的时候,除了必要的身份信息,还需要携带此随机Token,防止机器直接提交账号密码获取用户身份,如下图所示,像 Github这样的应用就无法使用这种方式登录:
本文发布于:2024-02-03 06:12:57,感谢您对本站的认可!
本文链接:https://www.4u4v.net/it/170691197749167.html
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。
| 留言与评论(共有 0 条评论) |
