Django web应用程序中基于Stormpath令牌的身份验证
我有一个使用stormpath身份管理服务的web应用程序 暴风雨之路对我来说是新的。。到目前为止,我所了解的是,您可以注册并登录stormpath,stormpath将为您提供访问令牌。每个帐户都与一个应用程序id关联。对吗 我读了这两篇文章 所以这里我有几个关于我的用例/场景的问题。 这里有3个主要组件 1) 暴风雨之路 2) 使用stormpath进行身份验证的web应用程序(我们称之为WA1)(此应用程序工作正常) 3) 另一个web应用程序(我们称之为WA2)将使用stormpath登录(对于相同的应用程序ID)和上述web应用程序(WA1)公开的另一个API 如果我登录我的应用程序(WA2),我会得到一个令牌。现在我如何使用这个令牌访问WA1公开的api 如果我直接从stormpath注销,我仍然会登录我的应用程序。 如果是,那么之后我们如何验证用户 这些问题可能听起来很愚蠢,但相信我,我读了又读,但无法理解流程。如果你能解释一下就好了 注:我正在使用Django+Django stormpath(在WA1中) 和角度/节点/表达式(在WA2中) PPS:还是基于会话的身份验证(首次登录后)?我在工作,我应该能够提供帮助。我们的框架集成(Django,Express)将使用Stormpath API为用户在登录时创建访问和刷新令牌,这些令牌存储在仅Http的cookie中,JavaScript无法识别。如果两个web应用程序位于同一根域上,则可以在应用程序之间共享cookie。如果应用程序不在同一域上,则有两个选项:Django web应用程序中基于Stormpath令牌的身份验证,django,authentication,oauth,oauth-2.0,stormpath,Django,Authentication,Oauth,Oauth 2.0,Stormpath,我有一个使用stormpath身份管理服务的web应用程序 暴风雨之路对我来说是新的。。到目前为止,我所了解的是,您可以注册并登录stormpath,stormpath将为您提供访问令牌。每个帐户都与一个应用程序id关联。对吗 我读了这两篇文章 所以这里我有几个关于我的用例/场景的问题。 这里有3个主要组件 1) 暴风雨之路 2) 使用stormpath进行身份验证的web应用程序(我们称之为WA1)(此应用程序工作正常) 3) 另一个web应用程序(我们称之为WA2)将使用stormpat
- 使用我们的,在不同域上的两个应用程序之间维护单一登录cookie
- 使用
端点,手动获取令牌,然后将其存储在本地存储中,以允许您以跨域方式使用它们。注意:本地存储确实存在安全漏洞,特别是XSS漏洞/oauth/token