情景 -
假设我有一个网站 - www.example.com。我想为不同的客户贴上白色标签。因此,访问example.customer1.com应该显示www.example.com,其中包含一些自定义项,例如不同的徽标,名称等。我选择通过CNAME和过滤器实现此功能,此设置目前工作正常。
一个要求是应在所有客户站点之间共享用户帐户。因此,example.customer1.com上的帐户应该在www.example.com上有效
鉴于登录页面应为https,客户不会向我提供他们的SSL证书&私钥,我选择通过从http://example.customer1.com重定向到https://www.example.com/login?custId=XXX来执行登录。
在www.example.com上成功登录后,我想将用户重定向回example.customer1.com - 但两者的会话都不同,所以我丢失了会话信息,用户没有登录重定向后。
问题 -
要解决这个问题,我正在考虑将用户ID(或一些可以识别用户的令牌)从https // example.com / login请求传递到重定向url http // example.customer1.com / page并且然后让白标签网站将用户信息加载到其会话中。
我担心这不安全,因为从https到http转换了一些识别信息,并想知道可以采取哪些更好的方法来安全地解决这个问题?
谢谢!