0
有两个站点。主站点有一个用户认证逻辑,第二个站点作为主站点的附加服务,并具有自己的数据库,代码,技术等。 这两个站点都是由不同的团队拥有的。第二个站点应该能够对用户进行身份验证,但不能访问主站点的数据库和代码,并托管在其他域中。
现在,验证按以下方式工作:加密跨域验证的不同站点之间的请求
。第二个站点显示登录页面,在iframe中加载主站点的登录表单。
。当用户输入他的凭证并点击输入时,所有验证逻辑都会在主站点上运行,而用户只能通过主站点验证。
。主站点通过http(s)发送请求,通过用户的某个唯一标识符(电子邮件)向第二个站点通知需要登录的用户。
。第二个站点接收来自主站点的请求,并且无需任何验证即可创建身份验证Cookie,甚至无法访问用户凭据(因为主站点的iframe中的登录表单)。
下一个问题出现在这里:
- 将邮件从主站点加密到第二站点。第二个站点使用asp.net mvc,但主站点可以使用任何不同的技术。每封邮件都可以包含更多信息,例如主站点的登录名和密码。
在这里可以使用哪种类型的加密来通过网站加密消息?也许有人知道在网站之间进行这种交互的更合适的方式。所有这一切的主要目标是主站点和第二站点之间的轻松集成。
在此先感谢, 迪马。
感谢Darin的快速回复。 –