Я пытаюсь разработать способ встраивания приложения в iframe, чтобы его можно было поместить в домены доверенных партнеров.
Есть 2 основных вопроса, которые мне нужно решить: 1. аутентификация доверенного «партнер является правильным, а не поддельным доменом 2. управление сеансом iframe: у партнера-партнера есть пользователи, в iframe должен быть сеанс для этих пользователей.
Моя идея состоит в том, чтобы доверенный партнер сделал Вызов API REST (защита с помощью basi c auth) с помощью uuid его пользователя, это создаст сеанс в моем приложении и вернет уникальный временный токен сеанса, который затем можно будет использовать в качестве параметра в URL-адресе sr * 1009. * из фрейма.
Существуют ли какие-либо основные концепции безопасности с системой описаний, о которых мне нужно подумать? Есть ли лучшие способы сделать это, используя что-то еще, чем iframes?