有很多类似的问题,但我没有找到一个好的答案。这是场景。
假设:
三个具有不同域名的网站(不只是不同的子域名):
- 网站1 :域名: CrossDomainServer.com - 我完全可以控制此网站。服务器端技术 - asp.net-mvc
- 网站2 :域名: CrossDomainClient.com - 我只能要求他们的管理员在他们的网页上放置一些javascript / html。
- 网站3 :域名: CrossDomainEvil.com - 无权使用CrossDomainServer.com提供的服务的网站
目标:
- 当CrossDomainClient.com使用CrossDomainServer.com提供的javascript加载其页面时,需要检查是否允许CrossDomainClient.com使用服务。如果是,则显示这些服务,如果没有 - 显示登录表单。
- 登录后,不应要求此网站在重新加载页面时再次登录。
- 登录CrossDomainClient.com后,应该能够通过ajax将数据GET和POST到CrossDomainServer.com。
- 如果CrossDomainEvil.com在其页面上放置相同的脚本,则在CrossDomainClient.com上授权用户时不应允许他们使用服务 - 他们应该看到登录表单。
似乎SSO 不我正在寻找的东西,因为它允许单点进入 multipple 系统。
如果有人能指出我关于如何实现这一目标的文章,那将是最好的,因为我甚至不知道从哪里开始。
感谢任何帮助。