У меня есть сайт, настроенный на www.domain.com, сайт может аутентифицировать пользователей и сохранять их учетные данные в файле cookie.
В некоторых случаях пользователи получают доступ к обработчикам, которые настроены на разных серверах на другом сервере.домен.handlers.domain.com
Я не могу позволить себе использовать файлы cookie субдомена с подстановочными символами (файлы cookie не должны быть доступны для других поддоменов)
До сих пор моим решением для контроля доступа был каждый URL, используемый для1009 * был гид, специфичный для пользователя.Обработчики на другом сайте будут принимать личность владельца guid.Это, конечно, не очень хорошая практика безопасности.
Я думал об альтернативном решении: все ссылки на handlers.domain.com на самом деле будут ссылками на скрипт перенаправителя на www.domain.com, который будет перенаправлять на зашифрованное времяштамп с адресом handlers.domain.com, который будет точно знать, что к нему был получен доступ с прямым аутентификационным перенаправлением с www.domain.com.Это решение будет хорошо работать в сценариях GET, но не будет работать с обработчиками, ожидающими данные POST (например, для больших загружаемых файлов)
Кто-нибудь знает или может придумать лучшее решение или иметь какое-либо представление о моем решении?
(В этом случае я использую ASP.NET, но решение, вероятно, будет независимым от платформы, поэтому я буду отмечать это на различных веб-платформах)
Спасибо!