我正在尝试与供应商一起实施SSO,他们要求我发送HTTP请求。在此HTTP请求中,有一个用户名和密码的自定义标头,这是我传递u / p信息的位置。如果用户已通过身份验证,则会发回“auth cookie”。我想了解一些事情:
这个auth cookie究竟是什么?这是标准的事吗?或者它意味着它是一个具有认证信息的cookie?
HTTP请求被发送到与我不同的域。即,发送请求的脚本在a.com上,我需要发送HTTP请求的URL是b.com。供应商说我应该将他们在响应中返回的cookie“发送”给用户。这不起作用,但我需要理解为什么 - cookie的域名是什么?它会是a.com还是b.com?如果它的b.com,那将有效,因为实际进行调用的脚本将在a.com中,并且大多数浏览器不允许第三方域cookie。或者它是否失败,因为我正在尝试用a.com写一个cookie,其中cookie已经有b.com的数据?
答案 0 :(得分:0)
想出来了。返回的HTTP只是另一个自定义标头值,而不是cookie。所以,我们必须编写自己的cookie。但是,显然,其他域名不识别cookie。所以我们实际上在IIS中构建了一个反向代理,以便域a.com通过名为x.a.com的代理访问该站点,并且永远不会看到b.com。所以写的cookie被该域识别。