Authentication 跨子域的基于Cookie的身份验证
我正在构建一个中央身份验证服务(auth.xyz.com),类似于谷歌在accounts.Google.com上的功能。我有多个应用程序,每个都运行在不同的子域(app1.xyz.com、app2.xyz.com)上,这些子域将与我的身份验证服务集成 我目前正在遵循一个基于cookie的系统,它写在“.xyz.com”域上,因此所有子域都可以读取它 我的问题是我不知道如何处理饼干过期。如果用户在时间t登录,在app1.xyz.com上花费45分钟,然后转到app2.xyz.com,我不希望他再次登录。另外,如果用户登录到app1.xyz.com,然后空闲45分钟,然后点击app2.xyz.com,我希望他必须重新登录。我怎样才能做到这一点Authentication 跨子域的基于Cookie的身份验证,authentication,cookies,session-cookies,subdomain,Authentication,Cookies,Session Cookies,Subdomain,我正在构建一个中央身份验证服务(auth.xyz.com),类似于谷歌在accounts.Google.com上的功能。我有多个应用程序,每个都运行在不同的子域(app1.xyz.com、app2.xyz.com)上,这些子域将与我的身份验证服务集成 我目前正在遵循一个基于cookie的系统,它写在“.xyz.com”域上,因此所有子域都可以读取它 我的问题是我不知道如何处理饼干过期。如果用户在时间t登录,在app1.xyz.com上花费45分钟,然后转到app2.xyz.com,我不希望他再次
我不想在app1或app2上收到的每一个请求上都接触auth服务器。我认为这是不可能的。如果是这样,应用程序的整个流中将存在安全漏洞。cookie过期的用户仍然可以访问服务器app1和app2上的资源,而无需身份验证或其他受信任的机制