我是Spring Security的新手,但试图弄清楚如何处理我遇到的情况-
我有一个托管在bigmonolithjavaapp.example.com上的站点-这是一个大型Java应用程序,具有Spring Security和JSP。
我们正在基于reactjs创建一个新站点,该站点要作为页面嵌入到Java JSP应用程序中。 reactjs网站的托管地点为-reactjs.example.com。
我们需要reactjs.example.com才能访问bigmonolithjavaapp.example.com/api端点以共享相同的后端API。这些端点受到Spring安全性的保护,因此,当我尝试从bigmonolithjavaapp.example.com/api页调用reactjs.example.com端点时,由于这两个域之间没有会话共享,因此我被重定向到登录页面
有没有办法在两个域之间扩展spring安全会话?
要添加到组合中,我还有另一个限制,即不能更改bigmonolithjavaapp.example.com页面上的document.domain,因为取决于子域,页面上会发生很多业务逻辑。 / p>
我看到bigmonolithjavaapp.example.com如今有CSRF令牌,JSESSIONID(HttpOnly)和其他一堆cookie用于
有没有实现这种集成的模式或示例?
更新: 当我通过互联网阅读更多内容时,我现在开始考虑JWT是否适合这样做?
bigmonolithjavaapp.example.com并对自己进行身份验证。bigmonolithjavaapp.example.com/coolpage.html,在这里我可以将reactjs.example.com?token=<jwt_token>嵌入到iframe中。reactjs.example.com可以使用jwt令牌从bigmonolithjavaapp.example.com访问安全的api资源。 这种方法听起来有效吗?