如何为客户Web门户创建简单安全的SSO/身份认证接入API？

阿华AIGC实验室

2026-5-22

好的，结合你描述的场景——客户已经掌握其用户的邮箱，要从自有网站无缝跳转到你们的托管门户实现SSO，我来给你一套简单又安全的实现方案，核心是基于签名验证的一次性临时登录凭证，既容易落地，又能有效防范伪造请求：

整体流程概述

具体实现步骤

1. 预配置：共享密钥（核心安全基础）

接口采用POST /api/sso/get-token，请求体为JSON格式：

{
  "user_email": "user@client-domain.com",
  "timestamp": 1700000000,
  "signature": "a1b2c3d4e5f6..."
}

参数说明：

user_email：客户提供的目标用户邮箱（需是客户管理的合法邮箱）
timestamp：当前Unix时间戳（秒级），用于防止重放攻击，建议设置5分钟内有效
signature：签名值，生成规则：将user_email + | + timestamp + | + 共享密钥拼接后，用HMAC-SHA256加密，再转成十六进制字符串（用|做分隔符避免参数拼接混淆）

API验证逻辑：

首先检查timestamp是否在当前时间±5分钟范围内，超出则直接拒绝请求
按照相同规则重新计算签名，与请求中的signature对比，不一致则拒绝
验证该邮箱是否属于该客户的合法用户（如果你的系统已存储客户用户数据，直接查询；若未存储，可要求客户保证邮箱合法性，或额外调用客户的用户验证接口）
生成一个短期有效（5分钟以内）的一次性JWT令牌，令牌中仅包含user_email和exp（过期时间）两个字段，用你的私钥（或共享密钥）进行签名
返回令牌给客户后端：

{
  "token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX2VtYWlsIjoidXNlckBjbGllbnQtZG9tYWluLmNvbSIsImV4cCI6MTcwMDAwMDMwMH0.SxXZ8kQZ9eR..."
}

当用户点击“进入托管门户”按钮时：

前端调用客户自身的后端接口（绝对不能在前端处理签名逻辑）
客户后端生成user_email、timestamp，计算signature，调用你的SSO API获取令牌
拿到令牌后，将用户重定向到你的门户登录页，示例URL：
GET /portal/login?sso_token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...

注：如果担心URL泄露令牌，也可以用POST表单提交令牌，但GET方式更简单适配跳转场景

门户的登录页（或专门的SSO回调页）处理流程：

关键安全防护措施（必须落实）

禁止前端处理签名：共享密钥仅在双方后端存储，前端永远不能接触密钥，避免泄露风险
短期有效令牌：令牌有效期严格控制在5分钟以内，即使泄露也无法长时间滥用
重放攻击防护：除了timestamp时效限制，还可以维护一个10分钟内的签名黑名单，用过的签名直接拒绝
强制HTTPS：所有API请求和跳转必须使用HTTPS，防止数据被窃听或篡改
JWT安全设置：不要在令牌中存放敏感信息，仅保留必要的用户标识；使用强加密算法（推荐RS256，用公钥私钥对替代共享密钥，安全性更高）；设置HttpOnly、Secure属性的Cookie存储会话
日志监控：记录所有SSO请求的日志，包括user_email、timestamp、请求IP、签名结果等，方便排查异常