サーバーAとサーバーBの2つのサーバーが必要です。サーバーAはすべての認証(ユーザー名とパスワード)を実行します。ユーザーがサーバーAで認証されている場合、サーバーAはユーザーのセッションID、IPアドレス、ユーザーエージェントなどのPOSTデータを送信します。サーバーBはSSLを介してこのすべてのデータを受信し、サーバーAを信頼してユーザーにアクセスします。また、サーバーBは、サーバーAのIPを使用してサーバーAからのPOSTデータのみを受け入れます。ssl/httpsでphp curlがどのくらい安全ですか?
私の質問は、投稿データがcurl/sslで送信されるため、トラフィック中に傍受または盗難される可能性がありますか?ハッカーはプレーンテキスト(ここで最も重要なコンポーネント)でセッションIDを表示できますか?
この方法のセキュリティを強化するためにできることはありますか?
PHPでこれを実装したくないのは、Webサーバーだけで簡単に実現できるからです。サーバAは、サーバBに対してCentral Authentication ServiceとReverse Proxyとして動作します。サーバ間の応答を分割する一般的な設定です。SSL(there is even hardware for that)これらのトピックを研究してください。
あなたはなどnginx as a reverse proxyまたはcommercial solutions like IBM's WebSEAL、
のように自由なソリューションに至るまで、このための様々なソリューションから選ぶことができますし、SSLを使用する場合、はい、それは間違いで、監査を購入secure enough(あります)。
脇で、この質問はおそらくserverfault.comに適しています。
これは正確に何を意味するのですか? – user962449
これは、PHPでこれを行うアイデアをスキップし、私の答えにリンクされているトピックを研究することを意味します。 – Gordon
セットアップに何が問題なのですか? 私はnginxを見ましたが、SSO機能を提供しているとは思えません。それはApacheのリバースプロキシであり、Webサーバーとして機能します。 – user962449
私は、サーバーAを認証サーバーとして、いくつかのサブサーバーをサービスプロバイダーとして持つようにパンしています。サーバーAは認証するだけで、自分のアプリがホストされている場所をユーザーに示します。それが意味をなさないならば。 – user962449