TYPO3 外部认证答案

【问题标题】：TYPO3 external authenticationTYPO3 外部认证
【发布时间】：2019-02-07 16:20:08
【问题描述】：

我们有一个 TYPO3 CMS 来管理用户群并作为各种用户特定信息的门户。我们还有一个单独的 ASP.net C# 应用程序，用于与许多具有单独管理后端的相同用户进行图表可视化。希望摆脱登录部分 ASP.net 应用程序并使用 TYPO3 会话身份验证。想法是让用户能够单击他们的 Typo3 前端中的链接并被定向到 ASP.net 应用程序，然后该应用程序可以使用 Typo3 会话进行身份验证并按照此操作。只是想知道我最好的选择是在 ASP.net 应用程序中写一些东西来获取 TYPO3 会话 cookie（这可能吗？），或者我是否必须做一些像 oauth2/其他服务这样笨重的事情

【问题讨论】：

标签： asp.net authentication typo3

【解决方案1】：

我会编写一个 TYPO3 身份验证服务，它通过一种已知协议（REST？）甚至自定义协议联系您的 ASP.NET 应用程序并检查身份验证。如果成功，则进行正常的TYPO3认证过程。

在身份验证期间仅设置一个 cookie 是不够的。要让用户“设置”为登录状态，还需要做其他事情。

【讨论】：

据我了解，他希望它反转：ASP 应用程序应该使用 TYPO3 用户。在最佳版本中：只需使用 TYPO3 cookie 来检测有效登录。
是什么阻止我伪造 cookie？
可能与 TYPO3 不依赖于 cookie 的方式相同：cookie 表示一个会话 cookie，其中登录信息被存储并在每个服务器请求上进行验证。这样ASP应用程序需要调用TYPO3安装来验证登录。
正确，我确实希望它反过来——ASP.net 应该使用错字用户。 ASP.net 后端仍然会有一些用户特定的信息，但会通过 cookie 链接到用户名和另一个唯一 ID 上的错字。我想我的问题是我是否可以读取typo3会话cookie而不必回叫typo3安装来解析它。我假设流程是：ASP.net 页面读取 cookie，将其发送回typo3 服务/函数，然后typo3 函数返回我想要通过 ASP.net 进行身份验证的任何参数。只是不知道以前是否有人这样做过。