Я проверил некоторые другие вопросы SO, и ни один из тех, которые я нашел, кажется, не имеет прямого отношения к этому.
У меня есть домен www.XYZ.com , который аутентифицирует пользователей, используястандартная схема ASP.NET Identity Cookie. Работает нормально и прекрасно.
Теперь пользователь нажимает кнопку, чтобы сообщить серверу XYZ.com, что он хочет запустить инструмент, который требует от них доступа www.API.com . Этот домен требует аутентификации, но мы не хотим, чтобы пользователь снова входил в систему. Итак, сервер www.XYZ.com выдает файл cookie https через HTTPResponse, содержащий токен JWT (поскольку мы не хотим сохранять токен в хранилище браузера по понятным причинам).
Ясно, что это не работает как есть, из-за междоменной проблемы.
Итак, мой вопрос:
Какая техника (путь наименьшего сопротивления) может использоваться, чтобы иметьВыдает токен JWT по домену www.XYZ.com *, чтобы иметь возможность сохранить токен в безопасном файле cookie, который затем будет отправлен на www.API.com ? Решение должно быть в состоянии использовать существующую аутентификацию с www.XYZ.com .