我已经检查了其他一些SO问题,但我发现这些问题似乎都没有直接解决。
我有一个域 www.XYZ.com ,该域使用标准ASP.NET身份Cookie方案对用户进行身份验证。效果很好,很花哨。
现在,用户按下一个按钮告诉XYZ.com服务器它要启动一个工具,该工具需要他们访问 www.API.com 。该域需要身份验证,但是我们不希望用户再次登录。因此, www.XYZ.com 服务器通过HTTPResponse发出一个包含JWT令牌的https cookie(因为显而易见的原因,我们不想将该令牌存储在浏览器存储中)。
很明显,由于跨域问题,这不能按原样工作。
所以,我的问题是:
域 www.XYZ.com * 可以使用哪种技术(阻力最小的路径)发出JWT令牌,以便将令牌存储在安全的cookie中,然后发送到 www.API.com ?该解决方案必须能够利用 www.XYZ.com 中的现有身份验证。