在这篇文章中,讨论了 B2C 中的多种策略来保护不同的端点,从而迫使某人再次登录以获取更敏感的资源。
这听起来很棒,并且在这个 SO 帖子中得到了回应,其中给出了 Facebook 或 Google 的示例。
我已经尝试过实现这一点,在一个控制器上设置两个可接受的策略,在另一个控制器上设置一个策略。
如果您选择了安全策略较低的页面并登录,然后您选择了另一个具有更安全策略的页面,则会要求您再次登录。到目前为止,一切都很好。
但是现在 cookie 包含安全策略的短暂过期,因此在 cookie 过期后您将被要求再次登录,即使您来自原始不太安全登录的 cookie 仍然有效。并且您在更安全的 cookie 的短暂间隔后反复登录。
我如何告诉它切换回使用仍然有效的旧 cookie(如果它仍然存在)?
我一直在考虑这个问题,我不确定是否有更好的处理方法是检查issued at授权政策中的声明,看看它是否足够新,如果不是,则返回未经授权的,这样他们将被迫登录再次。届时,他们将获得另一个长期存在的令牌,并带有新的issued at声明,并且可以在该站点上的任何地方进行访问。
有任何想法吗?
TIA