javascript - 实现自动登录第三方网站

Question

我的基于 Node 的 Web 服务链接到外部第 3 方站点，该站点需要我们也有的用户名/密码(但与我们的 Web 服务的登录名不同)。为了提供无缝的用户体验，当用户点击第三方网站的链接时，我想使用用户名/密码自动登录，并将他们直接带到外部页面的仪表板。

至少，我想用这些信息预填充第 3 方登录表单，但是 this post detailing a similar situation不会让我乐观。

我认为第 3 方网站不支持 OAuth 或现有的 SSO 协议(protocol)。我无法使用 iFrame。一个可行的选择似乎是使用 some kind of proxy ，或使用对第 3 方网站的请求(或 token ？)。

知道我无法控制第 3 方登录，有哪些高级选项可用于实现此最终目标？选择解决方案时需要注意哪些事项？

Answer 1

简短的回答是，如果外国网站在表单上使用 CSRF 保护，或者不允许表单输入的查询字符串参数，您将无法完成此操作。

以下是您可以尝试的方法:

• 尝试将用户重定向到 https://website.com/login?username=xxx&password=xxx
• 如果成功，您就可以开始了。否则，可能无法在浏览器中实现此功能。

检查登录页面的源代码，并在您的查询字符串中使用 HTML 输入名称标签值进行重定向。因此，如果表单有用户名和密码输入字段，您将使用这两个名称。

现在——请记住，您尝试做的事情通常不是一个好主意。

为另一个网站存储用户凭据是一个巨大的安全风险，而且确实不是一个好主意。如果站点/服务不提供 SSO/Oauth，这可能会成为您 future 的问题。

除其他外，这里有一些可能发生的坏事:

• 有人控制了域并使用用户名/密码捕获所有请求。
• 用户的计算机已被劫持或中间人攻击，因此当您将用户重定向到此网站时，第三方会获取用户名/密码信息。
• 该网站更改了他们的登录表单，您最终不小心将凭据发送到另一个地方。
• 该网站记录了他们传入的 GET 请求，现在在他们的网络服务器上以纯文本形式存储了一堆凭据(如果这些日志泄露了，那就太糟糕了)。