0

想象一下,您有一个使用某些 oauth 解决方案的站点。在这种情况下,您可能使用诸如 signin.mycompany.com 之类的 URL 用于登录,然后使用 usecase1.mycompany.com 用于一个用例,等等...当您保存密码时,密码管理器(例如来自Safari/Chrome/Firefox)通常会将密码保存在名称 signin.mycompany.com([email])或类似名称下。

如果用户忘记密码或更改密码,密码更改/重置表单在不同子域的可能性较大。有没有办法将 pwd 保存的名称设置为“mycompany.com ([email]),以便所有子域都使用并保存相同的条目?或者至少找到一些可以正常运行的解决方案?

我知道这听起来像是一个安全漏洞,但在这种情况下,站点通常具有特定的 CORS 策略以允许子域访问资源,因此通用密码管理器(只要它是从服务器端控制的)应该没什么大不了的......

4

0 回答 0