Abbiamo un'applicazione che sarà in iframe. I siti partner possono utilizzare la nostra applicazione - inserire iframe nei loro siti.
Il sito partner ha utenti con denaro, che utilizzeranno la nostra applicazione in iframe per acquistare articoli. Iframe ha bisogno di comunicare con il sito del partner.
Ad esempio, l'utente compra l'articolo. La nostra app crea un record sull'oggetto venduto nel database.
Quindi invia una richiesta all'app partner, in modo che il partner sappia che il suo utente ha acquistato un articolo e potrebbe ridurre i suoi soldi nel conto.
L'utente non deve accedere alla nostra app, deve solo accedere all'applicazione partner - sito padre e utilizzare il nostro iframe come effettuato l'accesso.
Come si fa in modo sicuro? So che c'è un sito che lo fa senza token visibili nelle richieste Ajax, quindi probabilmente c'è qualche sessione nell'app figlio. Sessione, non richiede nome utente e password.
Mi piacerebbe avere alcuni tutorial con schema. Ho cercato di cercare ma non sono nemmeno sicuro di come creare parole chiave per tale domanda.
Aggiorna
Che ne pensi di questo, stai vedendo cosa potrebbe essere potenzialmente insicuro? :
Quando viene caricata la pagina partner, c'è iframe e nel token parametro get viene passato a iframe, come <iframe src='www.shop.com?token=12345'><iframe>
Iframe a carico lato server - richiede un nuovo token dal sito partner passando come parametro il token che si trova nella url come parametro $ _GET.
In questo modo il token nel parametro get dell'iframe iframe diventa non valido, quindi anche quando l'utente lo vede, non può fare nulla.
Il nuovo token ricevuto nel server iframe viene salvato in sessione.
Quindi ora dal lato client - quando il cliente acquista e l'elemento in iframe, non ha bisogno di passare il token in richiesta, perché è in sessione.
Il server ifframe quando riceve la richiesta, acquista l'oggetto e invia la richiesta alle informazioni del server partner sull'acquisto dell'oggetto, in modo che il partner possa ridurre i costi. In questa richiesta il token è passato al server partner dalla sessione.
Il server partner riconosce l'utente per token e riduce i suoi soldi nell'account.