【发布时间】:2013-12-02 14:47:43
【问题描述】:
我们正在为一家大公司开发一种 SAAS 解决方案,在该解决方案中,医生可以查看患者并进行突变、订购产品、提供许可。 该项目适用于一家伞式公司下的 4 家独立公司。我们为每家公司开发了一个门户。所有门户都使用相同的代码,但有一个严格分开的数据库,因为该数据库包含所有患者信息。 我们将 Sitecore 用作 CMS。
客户决定在生产环境中使用虚拟文件夹而不是子域。我们的暂存环境 url 例如:acc-portal1.umbrella.com。对于生产环境,他们需要一个 URL,例如:acc.umbrella.com/portal1。一个 SSL 证书正用于所有门户和请求。
我们正在使用 Membership Provider(表单身份验证)对用户进行身份验证。由于使用了分离的数据库,用户不能在例如portal1 和portal3 中使用相同的帐户登录。 因为我们正在使用表单身份验证,所以正在使用“.ASPXAUTH”cookie。当然也使用了“ASP.NET_SessionId”cookie。
因为客户端想要使用虚拟文件夹而不是子域,所以 cookie 在所有门户上共享。可以在 web.config 中的节点上设置“路径”,但此路径由 Sitecore 动态读取并在管道中解析。在 web.config 中加载此路径后,我没有找到覆盖此路径的方法。我也没有找到改变 ASP.NET_SessionId cookie 路径的方法。
我的问题是:通过多个门户共享这些 cookie 是否存在(安全)风险(请记住,它们应该完全分开)?此设置可能会导致任何其他问题吗?
希望有人能帮忙!
【问题讨论】:
标签: asp.net security cookies sitecore session-cookies