我需要一种让用户通过iframe登录我的网站的方法,这将使他们能够在评论部分中发表评论。此评论部分页面是唯一可以通过我的网站上的iframe呈现的页面。
现在,我当前的方法是使用单独的身份验证,该身份验证只能在此评论系统页面上使用。用户将使用我提供的一些代码,这些代码将初始化iframe并发出请求,以从httpOnly cookie中获取当前用户JWT。然后,该JWT被发送回并作为查询字符串传递到iframe,从而使其对前端可见。然后,当用户希望发布新评论时,我将从iframe内部使用该JWT。
我正在考虑更改此流程,以使JWT永远不会发送到前端,而是将cookie从不严谨更改为false,这将使iframe可以直接访问它。至少以这种方式,JWT在前端及其附近不容易看到,以防任何潜在的攻击。 即使攻击者掌握了此JWT,他们唯一能做的就是发表新评论。
是否会缺少一种更好的方法来通过iframe对我的网站进行用户身份验证,或者我走在正确的轨道上?谢谢。