双重发布用户数据有什么问题?
我正在为客户构建一个站点,该站点需要登录我正在构建的定制后端系统,并同时登录到在单独域上托管的第三方系统。客户端系统是用.NET构建的PHP和供应商系统。
登录过程要求两个站点都在其各自的域上执行身份验证和设置客户端cookie,因此第三方供应商提议:
- 我们在包含用户名和密码字段的客户端域上创建登录表单
- 登录表单POST到客户端域上的服务器端脚本以执行身份验证,设置服务器端会话并设置客户端会话cookie。
- 然后,此登录表单重定向到第三方供应商域上的脚本,POST用户名和密码,并在第三方供应商域上设置服务器端会话和客户端会话cookie
- 然后,此登录脚本重定向回客户端域上的“已登录”页面,其中包含供应商域上的脚本的嵌入式IFRAME,这两者都需要获取已设置的各自客户端cookie重新启动用户会话。
供应商建议通过隐藏的HTML表单执行即时JavaScript表单提交,从客户端域登录页面到供应商登录页面的重定向。
我的问题是:
- 是否存在安全/不良做法问题/我可以用来阻止这种情况并获得合适的API?
- 有没有更好的方法来执行上述操作,同时仍然可以登录这两个系统并在两个域上设置客户端Cookie?
由于