我有login.company.com,它对用户进行身份验证并生成令牌,然后用户将被重定向到子域。如何以安全的方式将令牌传递给子域应用程序(app1.company.com)。我们可以在查询参数中使用令牌重定向到子域,但我想知道是否有任何备用进程。存储在本地存储/会话存储/ cookie中会有帮助吗?
由于
答案 0 :(得分:1)
目前,我认为最好的办法就是拥有SSL并按照目前的做法传递令牌。
如果没有SSL,令牌就有被截获的风险。
还有SAML身份验证策略 http://www.mutuallyhuman.com/blog/2013/05/09/choosing-an-sso-strategy-saml-vs-oauth2/