SCENARIOサブドメイン(サブドメインが2いる)
あり3つのドメイン認証メカニズム&セッションメンテナンス
- https://site1.thatsme.org - メインのウェブサイト(.NET)
- https://site2.thatsme.org - サブドメインウェブサイト(NODE)
- https://api.thatsnotme.org - REST APIサーバ(NODE)
サイト1
- 独立したサイト
サイト2
- 完全
API
- 認証だけSITE1に依存
ISSUEサイト1のみがサイト1にして、ログインページに
ユーザーログを持っている
とhログインしたユーザーとしてsite2に行くことができるようにします。ここで、site2は、認証(site1によって提供される必要があります)を含むすべての操作に対してREST APIサーバーを使用します。
これに最も適した方法は何ですか?トークンの代替対
が必要ですfrom site1 ----- ** Site1 ** - thatsme.orgの下にユニークな_UserId_(apiの公開鍵で暗号化されています)を配置します............. ** Site2 ** - そのクッキーにアクセスし、セッションが存在しない場合は、apiサーバーに転送します。... ** api ** - 復号化プライベートキーを持つユーザーIDを取得し、site2セッションに格納されているjwtを作成します。... ** Site2 ** - APIサーバー –
へのすべてのapi呼び出しでjwtを使用します。暗号化はセキュリティを追加しません。暗号化されたIDまたは暗号化されていないIDを盗むユーザーは、いつでもそのユーザーを偽装する可能性があります。システム全体のキーを変更する必要があります。 site1がJWTを生成すると便利です – pedrofb