So. У меня есть домен A.com, аутентификация которого выполняется в домене B.com. В настоящее время я устанавливаю его так, чтобы форма входа была отправлена на сайт B.com, который (если succesfull) устанавливает cookie сеанса и запускает перенаправление на A.com/loggedin. Однако, поскольку форма отправляется на B.com, и cookie настроен на этот домен, когда я делаю запрос JSON от A.com, cookie сеанса недоступен, я понятия не имею, вошли ли они в систему или нет. Тогда возникает вопрос, как решить проблему?Как безопасно выполнять междоменную аутентификацию?
Я обдумывал решение, в котором я бы добавил токен к urid перенаправления, который затем можно было использовать для одноразового сеанса с A.com (браузер мог использовать этот токен для авторизации сеанса с B.com, так что cookie будет установлен на A.com и будет доступен по запросам JSON, после чего токен будет недействительным ofc).
Однако я не уверен, насколько безопасно это решение? Или есть другое более безопасное решение?
как насчет sso решение. A.com нужна аутентификация, затем перенаправление на sso-сервер (S.com), S.com верните пользователю форму longin, отправьте сообщение на сайт S.com. S.com получил и сгенерировал токен и перенаправил на A.com с токеном, A.com получил токен, вызвал S.com для загрузки зарегистрированной пользовательской информации. – Sam
и некоторые также, решение openid – Sam