Stiamo costruendo profili utente che possono essere incorporati nei siti Web dei clienti. Stiamo incorporando quelli come iframe nel Web del cliente con l'id dell'utente come parametro per l'URL iframe.
Abbiamo un token di autenticazione per consentire l'accesso al profilo. Con questo approccio il token di autenticazione verrà esposto e gli utenti potranno utilizzarlo in modo improprio.
Abbiamo anche usato la verifica del referrer, ma questo può essere falsificato molto facilmente.
Qual è il modo migliore per mostrare la pagina di un'applicazione all'interno di un altro sito web? Stiamo cercando di evitare l'accesso dell'utente tramite iframe per evitare l'overhead di operazioni aggiuntive poiché ci saranno molti utenti dell'organizzazione che lo useranno. Esiste un altro modo se non fornire funzionalità di accesso all'interno di iframe per proteggere iframe incorporato?