子域上的已登錄會話
[英]logged-in session on subdomain
問題描述
我目前面臨以下問題:
一個主域正在運行具有框架特定會話的特定PHP框架。 現在有一個新的子域,它運行一個不同的PHP框架,我需要與該子域共享來自主域的登錄會話信息。 即,用戶僅在主域上注冊,但是一旦登錄,他們也將登錄到其在子域上的帳戶。 還應注意,子域不能訪問主域db。
有了這些限制,我想出了以下解決方案:首先,我將域cookie設置為.mydomain.com ,以便可以訪問子域上的會話cookie。 接下來,我在主域上實現一個簡單的API調用,該調用返回登錄狀態以及其他會話信息。 API URL將具有僅限於子域服務器的IP白名單,並且一旦登錄用戶從主域進入子域,便會向用戶cookie服務器端(大概是cURL)請求API URL。 一旦用戶在子域上通過這種方式進行身份驗證,就會為他分配特定會話的令牌,然后從那里我可以將其作為子域上的常規會話進行管理。
現在我的問題是,在此設置中您是否可以看到任何安全漏洞? 或提出任何改進或更可取的方式來做到這一點...
謝謝
1 個解決方案
解決方案1
0 2016-07-07 18:43:24
對我來說,我認為我將使用單點登錄概念。 用戶通過任何域或子域登錄后,請為該用戶生成訪問令牌,然后登錄。 之后,使用相同的訪問令牌來檢查和驗證用戶的不同域名,而不是使用單獨的會話。 這可能導致會話劫持,並且難以管理多個會話。 創建會話后,請分配訪問令牌以及訪問規則。 這將使登錄過程變得無縫,並且也易於管理。
有關更多信息,請搜索“單一登錄”或OAuth 2.0協議。
使用重寫規則和php腳本保護某些文件(基於登錄的會話)
[英]using rewrite rules and php script to protect certain files (based on logged-in session)
如何通過登錄的儀表板面包屑移動到儀表板歡迎屏幕,使用 Codeigniter 中的 session?
[英]How to move to Dashboard welcome screen through logged-in dashboard breadcrumb, using session in Codeigniter?
如何在獨立的iOS Web應用程序中保持登錄會話的活動狀態?
[英]How do I keep a logged-in session active from within my standalone iOS web application?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.