¿Deben utilizarse Javascript y marcos de imagen para actualizar las sesiones cuando se utilizan dominios de cookies maestras?

6

Supongamos que tengo 3 sitios en los que quiero tener SSO, site1.com, site2.com y auth.com. SSL siempre es necesario.

Según las las cookies de SiteMinder se describen aquí , uno de esos dominios sería el dominio asociado "cookie principal", y otros redireccionarán a ese dominio en caso de una falla de autenticación.

Cómo funcionan las cosas actualmente

  1. Para evitar el clickjacking, la página de inicio de sesión de auth.com tiene el script NoFrames y un script de destructor de marcos implementado para los antiguos browers.

  2. Después de que el cliente inicie sesión en site1.com o site2.com, AJAX inicia y realiza algunas operaciones (sondeo, etc.). Durante este tiempo, Javascript puede obtener un error que dice que la sesión no es válida. Este error se produce al utilizar AJAX. (Si ocurriera durante la navegación, habría una redirección y no se aplicará toda la pregunta)

  3. En este punto, puedo actualizar la página y redirigir, o pedirle al usuario que inicie sesión nuevamente en auth.com, pero luego pierdo el estado de mi aplicación en la memoria.

Un enfoque nuevo / continuo para el usuario final

Como solución alternativa, estoy considerando usar Javascript para crear un iFrame para auth.com/RefreshOnly (iFrames ok) POSTing mis datos de sesión. Auth.com/RefreshOnly verá la cookie para su dominio y, si elige, redirige a mi origen site1.com , indicándole que actualice mi cookie actual ... todo dentro de un iFrame oculto.

Pregunta

¿Está permitido este uso limitado de iFrame en un proveedor de IDP / autenticación? (no exclusivo de Siteminder)

    
pregunta random65537 09.08.2014 - 13:15
fuente

1 respuesta

0

No estoy seguro de si me perdí algún detalle, pero ¿intentaste hacer uno de estos?

  • Indicar a auth.com que redirija a una URL pasada como parámetro (por ejemplo, auth.com/RefreshOnly?returnTo=mysite/temp/tempSession12345
  • Almacene el estado de la aplicación en una sesión de servidor temporal antes de redirigir a auth.com, luego, al devolver los datos de transferencia de la sesión anterior a la nueva
respondido por el Enos D'Andrea 08.04.2018 - 11:43
fuente

Lea otras preguntas en las etiquetas