我的应用程序的体系结构是这样的。我有一个应用程序,它是许多其他应用程序的集线器,允许用户传递凭据。检查凭据后,Hub应用程序会显示一个或多个允许用户使用的应用程序。如果用户只有一个应用程序,则会直接重定向到应用程序。如何维护在集线器应用程序中传递的用户的授权状态并在子应用程序中再次访问它们?
没有“单向”来做到这一点。但一种方法是,如果成功登录,则将Javascript Web Token(JWT)提供回客户端。然后,如果客户端将JWT作为请求标头提供(通常为“授权:Bearer JWT-在这里”),服务器可以真实地知道用户是谁发出了请求。您可以将JWT保留在某种本地存储中像IndexDB在应用程序之间共享(假设相同的域URL)并在用户注销时删除它。
此外,如果不明显,请务必使用HTTPS。由于LetsEncrypt的存在,2019年没有任何借口。
如果您使用的是Express.js,请使用express-jwt和jsonwebtoken包来完成此方案。