有两个站点。主站点,其中有一个用户身份验证逻辑,第二个站点作为主站点的附加服务,拥有自己的数据库、代码、技术等。两个站点由不同的团队拥有。第二个站点应该能够对用户进行身份验证,但无法访问主站点的数据库和代码,并且托管在不同的域上。
现在,身份验证按以下方式工作:
1 . 第二个站点显示登录页面,其中在 iframe 中加载了主站点的登录表单。
2 . 当用户输入他的凭据并单击输入时,所有身份验证逻辑都通过主站点运行,并且用户仅通过主站点进行身份验证。
3 . 主站点通过 http(s) 发送请求,通知第二站点需要通过用户的某些唯一标识符(电子邮件)登录的用户。
4 . 第二个站点接收来自主站点的请求,并简单地创建身份验证 cookie,无需任何验证,甚至无法访问用户凭据(因为主站点 iframe 中的登录表单)。
下一个问题出现在这里:
- 从主站点到第二站点的消息加密。第二个站点使用 asp.net mvc,但主站点可以使用任何不同的技术。每条消息都可以包含附加信息,例如主站点的登录名和密码。
这里可以使用哪种加密来加密通过站点的消息?也许有人知道在站点之间进行这种交互的更合适的方式。所有这一切的主要目标是在主站点和第二站点之间轻松集成。
在此先感谢,迪玛。