В данной статье авторы рассматривают механизмы реализации межсайтовой авторизации. Задача подразумевает реализацию возможности авторизации на веб-ресурсе, используя учетную запись с другого ресурса, при этом сохраняя существующие права (привилегированные, обычные или ограниченные) и обеспечивая защиту данных пользователя. Авторы рассматривают три возможных варианта реализации задачи: вход с проверкой логина и пароля на головном сайте, вход по зашифрованной ссылке, а также используя существующее решение на основе технологии OpenID. Авторы подробно анализируют способы их реализации, достоинства и недостатки с точки зрения простоты реализации, удобства для пользователя и безопасности. Сделан вывод о том, что оптимальным вариантом является метод, использующий зашифрованную строку. Его достаточная простота реализации, высокая безопасность и удобство для пользователя перевешивают небольшие недостатки, в данном случае не критичные: работа с задержкой и невозможность зайти на вспомогательный ресурс с закладки.
In this article, the authors review the mechanisms for the implementation of cross-site authorization. The task involves the implementation of authorization capabilities on a web resource using an account from another resource, while maintaining existing rights (preference shares, ordinary or limited) and protecting user data. The authors consider three possible variants of realization of the problem: input validation of username and password on our main site, login via an encrypted link, and using an existing solution based on OpenID technology. The authors analyzed the ways of their implementation, advantages and disadvantages from the point of view of simplicity of implementation, user friendliness and security. It is concluded that the best solution is the method of using the encrypted string. Its sufficient ease of implementation, high security and user convenience outweigh the minor flaws, which in this case is not critical: working with delay and inability to get to the secondary resource from the bookmark.
1. Бабаш А.В., Кудияров Д.С. Период функционирования генератора псевдослучайных чисел RC4 // Системы высокой доступности. – 2012. – Т. 8. – № 2. – С. 7-11.
2. Бабаш А.В. Определение периода гаммы в шифре Виженера по заданному шифртексту // Проблемы информационной безопасности. Компьютерные системы. – 2014. – № 4. – С. 66-75.
3. Басараб М.А., Иванов И.П., Колесников А.В. Анализ моделей прогнозирования процессов сервера корпоративной сети // Нелинейный мир. – 2015. – Т. 13. – № 3. – С. 18-31.
4. Кузовлев В.И., Орлов А.О. Методика выбора параметров и интерпретации результатов анализа выбросов в данных систем поддержки принятия решений // Инженерный журнал: наука и инновации: электронное научно-техническое издание. – 2013. – № 11 (23). – URL http://engjournal.ru/catalog/it/hidden/1045.html (дата обращения 29.03.2015).
5. Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. Защита информации в компьютерных системах и сетях. – М: Радио и связь, 1999. – 328 с.
6. Стивен Перри Дж.. OpenID в Web-приложениях на Java // IBM developerWorks: Ресурс IBM для разработчиков и IT профессионалов. – 2010. – URL: http://www.ibm.com/developerworks/ru/library/j-openid/ (дата обращения: 26.06.2015).
7. Цибизова Т.Ю., Слепцова К.А. Автоматизированная система учета данных внутрикорпоративной сети управления информацией // Современные проблемы науки и образования. – 2015. – № 1; URL: www.science-education.ru/121-19593.