4

跟随问题。

我有一个网站:

  • example.com

但是有一些副网站可以说:

  • data.example.com
  • help.example.com

它们都由同一个烧瓶应用程序运行。现在我希望用户能够在任何这些网站上单击登录并登录所有这些网站。现在有两个帖子请求可用:

  • example.com/api/login
  • example.com/api/logout

现在的问题是,从 example.com 登录时,一切正常。我什至登录了子域本身。谢谢你,Mozilla。但是,当从其他子域之一登录时,由于域不匹配,我收到了失败响应,这对我来说非常有意义,因为它存在安全风险。

我知道两种解决方案:

  1. 在子域上时首先重定向到真实域并让用户再次单击登录。
  2. 为每个子域本身创建/api/login和。这里的问题是用户需要在他登录的 url 上注销/api/logout urls

当然方法2对用户来说会更好。

现在真正的问题是有什么方法可以从这些子域登录,而不login/logout需要每个域的 url?

让我知道是否需要澄清。提前致谢。

4

2 回答 2

2

一个想法是支持data.example.comhelp.example.com拥有一个带有example.com登录按钮的 iframe,而不是这两个子域托管自己的登录按钮。

这样,当用户访问两个子域时,他们最终会单击顶级域 ( example.com) 的登录按钮并设置一个适用于所有三个子域的 cookie。

于 2013-05-23T00:48:28.890 回答
0

我认为您正在寻找PR 3854中当前的内容。这里也有一些讨论。看起来它应该很快就会进入主人。

于 2013-09-04T18:56:45.877 回答