Какой контекст безопасности использует iframe для загрузки своей исходной страницы?

Question

У меня есть страница sharepoint, которая является iframe для другого сайта asp.net.

1) Мне просто интересно, с помощью какого контекста безопасности iframe загружает страницу asp.net? * Текущий пользователь вошел в sharepoint * Текущий идентификатор Windows (человек, который вошел в ПК)

В моих тестах это, видимо, позже, но не совсем точно.

2) Как настроить iframe для загрузки страницы asp.net с использованием учетных данных пользователя sharepoint?

Спасибо за вашу помощь.

Answer 1

Одним из способов является это:

1. на пользовательской странице входа в систему sharepoint sso (можно использовать проверку подлинности FBA или Windows), выполняется запрос к веб-службе авторизации, которая принимает имя пользователя, хэш-пароль и домен пользователя, сохраняет их в памяти или базы данных вместе с userKeyToken. Он проверяет входные аргументы, и когда они действительны и могут быть аутентифицированы, он отправляет обратно userKeyToken, который является зашифрованным значением, представляющим зарегистрированного пользователя. он может использовать алгоритм симметричного шифрования; не уверен, какой из них наиболее безопасный для использования.

2. Страница входа на сайт клиента, сохраняет этот ключ в виде куки или в своем сеансе; возможно, сессия лучше, так как она в памяти.

3. iframe отправляет этот ключ в виде строки запроса (или файла cookie?) На второй сайт, и второй сайт проверяет userKeyToken, если он все еще действителен, тогда продолжается ...

Надеюсь, это поможет кому-то с такой же проблемой.

Answer 2

Если вы загружаете что-то в iframe, все это происходит на клиенте, поэтому это эквивалентно переходу на страницу на другом сайте.Вам нужно будет снова пройти аутентификацию на этом другом сайте, если у вас нет какого-либо механизма единого входа.