如何在需要CSRF-Token时自动登录到另一个站点(PHP、SSO、LDAP)

Question

我正在尝试创建一个intranet站点，如果可能的话，它的所有部分都应该是SSO，这样在Windows中登录到他的Active Directory帐户的用户将立即通过LDAP在我的站点的所有页面中使用相同的帐户登录。现在这个网站的主要组成部分是与CMS建立的，从那里用户应该能够点击这个网站上的链接，以进入我们正在使用的其他工具，例如票务系统。CMS和票证系统软件本身都能够通过LDAP连接，但我想要一个SSO解决方案。

现在我被卡住了，因为我真的不确定如何使用它来自动将用户登录到网站。我要怎么做才能得到我想要的SSO解决方案呢？

我考虑创建一个简单的HTML表单，其中的字段与我要登录的票证系统表单中的字段相同。然后，我会尝试将POST数据发送到票证系统的形式，并自动登录用户。对于用户名，我将发送$_SERVER['PHP_AUTH_USER']；对于密码，我将发送$_SERVER['PHP_AUTH_PW']。但是，票证系统受到CSRF-Token的保护，我必须将它包含在发送的POST数据中，但不能提前知道，因为它是在访问页面的时刻生成的。

因此，如果有人能告诉我如何让单点登录与mod_authnz_sspi工具(或其他工具)一起工作，那将是非常有帮助的。如果没有其他方法，只能像我尝试的那样使用HTML表单发送POST数据，那么如果有人知道CSRF-Token问题的解决方法，那将是很有帮助的！

Answer 1

您可以创建一个AUTH应用程序来管理用户(详细信息、权限等)。当用户访问其他应用程序时，如果该应用程序未登录，则将其重定向到AUTH应用程序。验证应用程序检查用户凭据，生成access_token，并将用户重定向回尝试访问的应用程序。有关更多信息，请单击此处https://www.mutuallyhuman.com/blog/choosing-an-sso-strategy-saml-vs-oauth2/