クロスドメインセッション、API、およびiframe

Question

私は現在、作業するためにユーザー名とパスワードが必要なAPIを作成しています（明らかに）。

1. （正常に動作）、ユーザーを認証するために、ヘッダーを使用してRESTサーバー - サーバー呼び出し
2. または「サード貫通「通常」の方法：私はこのAPIを使用することを希望二つの方法がありますiframeを使用して "パーティー"。

2番目の方法では少し問題があります。さらに以下のように説明するためには、実装は次のとおりです。

1. 「オペレータ」はhttps://example1.comというドメインを持っており、このドメイン上のオペレータは、私が追加したhttps://example1.comで上記のAPI

2. を呼び出して、私はiframeを統合したいと思います以下のコードは、

   if (session_status() == PHP_SESSION_NONE) { 
       session_start(); 
   } 
   
   $_SESSION['u'] = 'username_here'; 
   $_SESSION['p'] = 'password_here'; 
   

3. オペレータはそう例えば言うのiframeのURL内部<?=session_id();?>を含むsrc="https://iframe.example1.com/?sid=<?=session_id();?>"

4. iframeとオペレータのウェブサイトが同じサーバー上にある場合は、両方の当事者からセッションストレージを読み取ることができるので、これはうまく動作します（$_SESSION['u'];と$_SESSION['p'];）。必要な情報を取得します。

5. のiframeがhttps://example2.com（別のサーバ）上に保持されている場合のようにRESTfulなAPIを維持しながら、セッションデータは、その後

は、ユーザー名とパスワードを通過するためにいくつかの安全な方法は何判読できますされ可能？代わりに、IFRAMEからあなたのAPIの呼び出しのあなたは、「演算子」から、あなたのAPIにAJAXリクエストを作るために試みることができる：

が、これはあなたのニーズに合うことができれば、私は知らない、事前

Answer 1

にありがとうドメイン（適切なヘッダーを使用）を作成し、結果をiframeにレンダリングします。残念ながら、これはインラインフレームをオペレータが誰であるかに応じて、いくつかのものをロードする必要があるとして、これはいわば「サブサイト」を作成しますので、APIを呼び出します動作しませんHow to set custom http headers when changing iframe src?