Tenemos aplicación que estará en iframe. Los sitios asociados pueden usar nuestra aplicación, poner iframe en sus sitios.
El sitio del socio tiene usuarios con dinero, que utilizarán nuestra aplicación en iframe para comprar artículos. Iframe necesita comunicarse con el sitio asociado.
Por ejemplo, el usuario compra un artículo. Nuestra aplicación crea un registro sobre el artículo vendido en la base de datos.
Luego envía la solicitud a la aplicación del socio, de modo que el socio sepa que su usuario compró un artículo y podría reducir su dinero en la cuenta.
El usuario no tiene que iniciar sesión en nuestra aplicación, solo tiene que iniciar sesión en la aplicación asociada - sitio principal y usar nuestro iframe como iniciado sesión.
¿Cómo se hace esto de manera segura? Sé que hay un sitio que lo hace sin tokens visibles en las solicitudes de ajax, por lo que probablemente haya alguna sesión en la aplicación secundaria. Sesión, no requiere nombre de usuario y contraseña.
Me gustaría obtener algunos tutoriales con esquema. Intenté buscar pero no estoy seguro de cómo crear palabras clave para dicha pregunta.
Actualizar
¿Qué hay de esto, estás viendo lo que podría ser potencialmente inseguro? :
Cuando se carga la página asociada, hay iframe y el token de obtención de parámetros se pasa a iframe, como <iframe src='www.shop.com?token=12345'><iframe>
Iframe on load en el lado del servidor: solicita un token nuevo del sitio asociado que pasa como parámetro el token que está en la url como parámetro $ _GET.
De esa manera, el token en el parámetro iframe url get se vuelve inválido, por lo que incluso cuando el usuario lo ve, no puede hacer nada.
El nuevo token que se recibe en el servidor de iframes se guarda en la sesión.
Ahora desde el lado del cliente: cuando el cliente compra un artículo en iframe, no necesita pasar el token en la solicitud, porque está en sesión.
El servidor Iframe cuando recibe la solicitud, compra el artículo y envía la información al servidor asociado sobre la compra del artículo, por lo que el socio podría reducir el dinero. En esta solicitud, el token se pasa al servidor asociado desde la sesión.
El servidor asociado reconoce al usuario por el token y reduce su dinero en la cuenta.