我正在为使用 LTPA 密钥共享的两个 WAS 服务器之间的 CORS 和 SSO 配置而苦苦挣扎。
如果我在 server2 上没有身份验证(这意味着跨域 Ajax 调用有效),则从 server1(domain1)到 server2(domain2)的 CORS 调用工作正常,但如果我有,则不会。
上下文是:Web 客户端登录到 domain1,UI 的一部分需要显示来自服务器 2(domain2)的一些数据。服务器 1 和服务器 2 与同一领域共享同一 LTPA 密钥。这很好用,我可以使用从 domain1 获取的 webclient 中的 LtpaToken2 对 domain2 进行手动调用(例如使用 curl)。
问题是:当我从 Web 客户端进行 CORS 调用时,我使用 withCredentials 为 true,但 withCredentials 包含来自远程域的 cookie,当然我还没有 cookie,因为浏览器还不知道 domain2。我需要做的是在对 domain2 进行跨域 ajax 调用时包含来自本地域 (domain1) 的 LtpaToken2 cookie。这样我就可以通过身份验证了。但是由于 cookie 跨域策略,我被卡住了。
我在这里以错误的方式解决问题吗?您将如何处理:使用来自本地域的 LtapToken 对未知域进行 CORS 调用?
非常感谢您的帮助!