前后端分离项目,后期前端身份验证的麻烦

软件构成

  • 后端
    后端是一个asp.netcore webapi项目,使用jwt进行身份验证和鉴权。
  • 前端
    前端是一个基于http协议的asp.netcore RezorPage项目,但实际上完全使用的wwwwroot目录下的静态文件。没有使用RazorPage

目前只有后端接口鉴权,前端页面任意访问

身份验证需求

这两天安全要求下来了,要求给前端页面加上身份验证。只开放login登录页面redirect第三方系统跳转此系统页面。初始办法是后端登录生成token后,放到redis中。

  • login.html
    访问前端login 登录页面,点击登录后,后端接口返回token,login 页面将token放在本地cookie中。之后打开新页面时都会带上这个cookie。前端中间件中取出cookie中的token,和redis中的token比较。如果一致,则放行到下一个中间件。如果不一致,则重定向到login录页面,并短路请求处理管道。
  • redirect.html
    对于redirect第三方系统跳转此系统页面,则是在url中传入了一个token,前端项目验证token有效性之后放入到redis中。同时redirect页面也把这个token放入本地cookie。之后新标签页都会带上这个cookie。在前端项目的中间件中进行验证。

问题

对于在新标签页打开页面的形式,这种身份验证方式运行良好,没有任何问题。

但是使用cookie进行身份验证有一个问题。就是iframe框架限制了跨域的cookie提交。当redirect被嵌入其它系统时,首先,这个本地cookie被禁止写入。其次,cookie不会被放到请求中,因此一直往登录页面跳转。

我之后试了下会话cookie,也就是session。但是被查看响应信息,提示会话cookie 同样被浏览器禁止写入。这下子就麻烦了,好多其它系统页面都使用了iframe 嵌入这个项目的页面。如果加上前端身份验证的话,那些地方的iframe都会跳转到登录页面。

是否只有https才能在iframe中携带cookie,解决这个跨域问题?

相关推荐
安 当 加 密13 小时前
一分钟学习数据安全——IAM系统的数据访问控制模型
数据安全·权限管理·rbac·访问控制·身份认证·访问控制模型·基于角色的访问控制模型
余生H5 天前
编程语言的前后端分离:可用JavaScript运行时作为后端的语言及与传统编程语言的对比 -Typescript、Nim、Moonbit
开发语言·javascript·typescript·前后端分离
清风絮柳12 天前
27.旅游推荐管理系统(基于springboot和vue)
vue·毕业设计·springboot·旅游·推荐算法·前后端分离·旅游推荐系统
方才coding17 天前
2024最新的开源博客系统:vue3.x+SpringBoot 3.x 前后端分离
spring boot·后端·开源·博客系统·前后端分离·个人博客·vue 3.x
清风絮柳21 天前
20.体育馆使用预约系统(基于springboot和vue的Java项目)
vue·毕业设计·springboot·java项目·前后端分离·体育馆·体育馆使用预约系统
清风絮柳22 天前
14.社团管理系统(基于springboot和vue)
vue.js·spring boot·后端·毕业设计·java项目·前后端分离·社团系统
清风絮柳24 天前
13.音乐管理系统(基于SpringBoot + Vue)
vue.js·spring boot·后端·毕业设计·前后端分离·音乐播放系统
余生H1 个月前
ToB项目身份认证AD集成(完):利用ldap.js实现与windows AD对接实现用户搜索、认证、密码修改等功能 - 以及针对中文转义问题的补丁方法介绍
javascript·windows·typescript·node.js·身份认证·ldap·windowsad
一丝晨光2 个月前
Web技术简史、前后端分离、游戏
前端·javascript·css·游戏·unity·前后端分离·cocos
暮毅2 个月前
一、前后端分离及drf的概念
django·pdf·前后端分离