我正在为一个客户创建一个 ASP.NET 网站,该客户希望通过 IFRAME 在其他“经销商”网站上提供他们的报告页面。经销商网站提供具有不同品牌的相同服务。我需要尽可能避免要求他们在其网络服务器上实现任何代码以启用此功能 - 因此使用 iframe。
用户将登录到经销商网站,加载包含 iframe 的页面,然后在主站点加载报告。作为参数,我们将发送经销商 ID 和他们的用户名。
我们可以使用 SSL 服务器证书,但不能使用任何联合登录(如 OpenId)——客户端的业务选择。
问题是,主站点如何验证从经销商处加载页面的用户确实正在请求报告页面?换句话说,如何跨域对用户进行身份验证,而不需要经销商实现代码..
任何想法将不胜感激!