SCENARIO子域的認證機制與會話修的
有3個域(其中2個是子域)
- https://site1.thatsme.org - 主要網站(.NET)
- https://site2.thatsme.org - 子域網站(NODE)
- https://api.thatsnotme.org - REST API服務器(NODE)
站點1
- 獨立網站
站點2
- 的API,完全取決於所有操作
API
- 依靠站點1僅用於認證
ISSUE
站點1只具有一個登錄頁面
用戶登錄到站點1和h以便能夠以登錄用戶身份訪問site2其中site2使用REST API服務器執行包括身份驗證在內的所有操作(必須由site1提供)。
對此,最佳方法是什麼?
它會更好,如果智威湯遜切片從站點1 ----- ** **站點1 - 提出獨特_UserId_(與API的公共密鑰加密)中的cookie下thatsme.org ............. **站點2 ** - 可以訪問該cookie及接送到API服務器如果會話不存在........... ** ** API - 解密用自己的私鑰和與用戶ID創建存儲在站點2屆智威湯遜........... ** **站點2 - 後來使用智威湯遜的所有API調用API服務器 –
此方案中,加密不會增加安全性。任何人誰偷的ID,加密或未加密,可以在任何時候都模擬用戶。你將不得不改變整個系統的鍵。 site1生成JWT很方便 – pedrofb