Ilustración: mainsite.com y contentsite.com, ambos equipos están siendo desarrollados para la misma compañía. Tendremos que iniciar sesión, etc. en mainsite.com contentsite.com tendrá algún contenido que no está disponible para usuarios que no han iniciado sesión. Pero el inicio de sesión será a través de mainsite.com ¿Cuál es la mejor manera de implementar esto? Algunos usuarios pueden estar en http, queremos que sean redirigidos a la página http en la que estaban, si hacen clic en iniciar sesión. Además de eso necesitamos contentsite.com para saber que un usuario ha iniciado sesión y qué ID hay.
Habrá un trabajo separado en el registro y cambio de perfil que comparte información de mainsite a contentsite.com
Entonces, la pregunta es: ¿es suficiente el nombre de usuario cifrado (después de iniciar sesión para indicar al sitio de contenido que el usuario ha iniciado sesión? ¿agregar sal aleatoria para que no pueda ser falsificada?) 2. ¿Necesita un servicio web para que el contenido pueda verificar el inicio de sesión?
Estamos considerando:
- Redirección en el inicio de sesión, por lo que tocamos el segundo sitio y permitimos que coloque cookies http y https. ¿Esto es lo que hace Google (pero solo https) para youtube y otros sitios de Google? ¿O una combinación de dominios de servicios web para llamadas de dominio en segundo plano? ¿Necesitamos llamadas a la API para detener al hombre en el medio o es SSL inicial suficiente? Finalmente, queremos que los usuarios puedan usar la mayor parte del sitio web en http o https además de las páginas de verificación, inicio de sesión y perfil.
- complemento de javascript para el dominio de contenido, con el nombre de usuario cifrado AES junto con algún hash. Por lo tanto, no hay redirección, pero cada vez que agregamos una etiqueta de contenido, pasamos a un usuario autenticado encriptado o anónimo que aún no ha iniciado sesión.
- oauth o auth0.com u otro esquema, no estoy seguro si lo necesitamos, ya que ya estamos usando un implemento de seguridad de clase mundial creado por un gran co y solo queremos compartir nuestra identificación de usuario de inicio de sesión con otro dominio que sea nuestro.
Observé algunas preguntas sobre lo mismo que esta pregunta del nodo js pero no parecían para encajar exactamente. ¿Hay alguna norma que hayamos omitido?
Estamos utilizando la seguridad de primavera para la tienda principal. El sitio de contenido no tendrá una base de datos, pero compartiremos cierta información de perfil a través de canales no web separados (en el registro y en las llamadas a la API de cambio de perfil).
Para iniciar sesión, el sitio web de la tienda tiene listas las páginas SSL, que lo redirigen a la página original (http o https).