Illustrazione: mainsite.com e contentsite.com sono entrambi sviluppati per la stessa compagnia da due team. avremo login etc su mainsite.com contentite.com avrà alcuni contenuti che non sono disponibili per gli utenti che non hanno registrato. Ma il login sarà tramite mainsite.com Qual è il modo migliore per implementarlo? Alcuni utenti potrebbero trovarsi su http, vogliamo che vengano reindirizzati sulla pagina http in cui si trovavano, se facevano clic su login. Oltre a questo abbiamo bisogno di contentite.com per sapere che un utente ha effettuato l'accesso e quale id è.
Ci sarà un lavoro separato sul registro e sul profilo che condivide le informazioni da mainsite a contentite.com
Quindi la domanda è: il nome utente crittografato è sufficiente (dopo aver effettuato l'accesso per indicare al sito di contenuti che l'utente ha effettuato l'accesso? aggiungere sale casuale in modo che non possa essere falsificato?) 2. hai bisogno di un webservice in modo che il contenuto possa controllare il login?
Stiamo valutando:
- Reindirizzamento all'accesso, quindi tocchiamo il secondo sito e permettiamo di inserire i cookie http e https. È questo che fa google (ma solo https) per youtube e altri siti di google? O una combinazione di domini di servizi Web per domini in background? Abbiamo bisogno di chiamate API per fermare l'uomo nel mezzo o è sufficiente l'SSL iniziale? Infine, vogliamo consentire agli utenti di utilizzare la maggior parte del sito Web in http o https oltre alle pagine di checkout, di accesso e di profilo.
- javascript add on per il dominio del contenuto, con il nome utente crittografato AES insieme ad alcuni hash. Quindi nessun reindirizzamento ma ogni volta che aggiungiamo il tag del contenuto passiamo l'utente autenticato o l'utente anonimo non ancora connesso
- oauth o auth0.com o altro schema, non sono sicuro se abbiamo bisogno di questo dato che stiamo già usando un impl di sicurezza di prim'ordine costruito da un grande co e vogliamo solo condividere il nostro id utente di login con un altro dominio che è il nostro
Ho esaminato alcune domande sulla stessa cosa come questa domanda sul nodo js ma non sembravano per adattarsi esattamente. C'è uno standard che ci è mancato?
Usiamo la sicurezza di primavera per il negozio principale. Il sito di contenuto non avrà una base dati, ma condivideremo alcune informazioni sul profilo tramite canali non web separati (nelle iscrizioni e nelle chiamate api di modifica del profilo).
Per accedere al sito Web del negozio sono disponibili pagine SSL che ti reindirizzano alla pagina originale (http o https).