前后端分离项目,后期前端身份验证的麻烦

软件构成

  • 后端
    后端是一个asp.netcore webapi项目,使用jwt进行身份验证和鉴权。
  • 前端
    前端是一个基于http协议的asp.netcore RezorPage项目,但实际上完全使用的wwwwroot目录下的静态文件。没有使用RazorPage

目前只有后端接口鉴权,前端页面任意访问

身份验证需求

这两天安全要求下来了,要求给前端页面加上身份验证。只开放login登录页面redirect第三方系统跳转此系统页面。初始办法是后端登录生成token后,放到redis中。

  • login.html
    访问前端login 登录页面,点击登录后,后端接口返回token,login 页面将token放在本地cookie中。之后打开新页面时都会带上这个cookie。前端中间件中取出cookie中的token,和redis中的token比较。如果一致,则放行到下一个中间件。如果不一致,则重定向到login录页面,并短路请求处理管道。
  • redirect.html
    对于redirect第三方系统跳转此系统页面,则是在url中传入了一个token,前端项目验证token有效性之后放入到redis中。同时redirect页面也把这个token放入本地cookie。之后新标签页都会带上这个cookie。在前端项目的中间件中进行验证。

问题

对于在新标签页打开页面的形式,这种身份验证方式运行良好,没有任何问题。

但是使用cookie进行身份验证有一个问题。就是iframe框架限制了跨域的cookie提交。当redirect被嵌入其它系统时,首先,这个本地cookie被禁止写入。其次,cookie不会被放到请求中,因此一直往登录页面跳转。

我之后试了下会话cookie,也就是session。但是被查看响应信息,提示会话cookie 同样被浏览器禁止写入。这下子就麻烦了,好多其它系统页面都使用了iframe 嵌入这个项目的页面。如果加上前端身份验证的话,那些地方的iframe都会跳转到登录页面。

是否只有https才能在iframe中携带cookie,解决这个跨域问题?

相关推荐
gc_22997 小时前
学习ASP.NET Core的身份认证(基于JwtBearer的身份认证2)
身份认证·jwtbearer
安 当 加 密3 天前
中小学教室多媒体电脑安全登录解决方案
数据安全·访问控制·身份认证·日志审计·多因素认证·操作系统登录双因素认证
安 当 加 密4 天前
【安当产品应用案例100集】032-重塑企业SaaS平台的PostgreSQL凭据管理体系
数据库·数据安全·访问控制·身份认证·加密技术·凭据管理
Crazy Struggle7 天前
WinForm 通用权限框架,简单实用支持二次开发
winform·前后端分离·权限管理系统
万雅虎22 天前
ASP.NET Core 9.0 中新增的MapStaticAssets() 中间件
netcore·aspnetcore·net9
gc_229923 天前
学习ASP.NET Core的身份认证(基于Session的身份认证3)
asp.net core·session·身份认证
gc_229925 天前
学习ASP.NET Core的身份认证(基于Session的身份认证1)
asp.net core·session·身份认证
gc_22991 个月前
学习ASP.NET Core的身份认证(基于Cookie的身份认证1)
asp.net core·cookie·身份认证
gc_22991 个月前
学习ASP.NET Core的身份认证(基于Cookie的身份认证3)
asp.net core·cookie·身份认证
安 当 加 密1 个月前
一分钟学习数据安全——IAM系统的数据访问控制模型
数据安全·权限管理·rbac·访问控制·身份认证·访问控制模型·基于角色的访问控制模型