我们在同一个域但不同的子域中有两个独立的网站/应用程序。
例如
https://hello.website.com (Webapp 1)
https://world.website.com (Webapp 2)
我们想做的是在 Webapp 1 上登录用户,在登录并单击 Webapp 1 中的按钮后,我们希望将用户重定向到 Webapp 2。但是,Webapp 2 需要相同的身份验证令牌当前存储在 Webapp 1 的本地存储中。如何使本地存储内容可用于 Webapp 2?
或者有更好的方法吗?
【问题讨论】:
标签: javascript authentication jwt local-storage subdomain
由于域不相同,因此无法直接将信息从其中一个的本地存储传输到另一个,但由于站点使用 HTTPS,因此应该安全且容易足以将身份验证令牌作为搜索参数发送。例如,重定向时,不是重定向到https://world.website.com,而是取https://hello.website.com的当前身份验证令牌并附加它,然后重定向:
const url = 'https://world.website.com?token=' + authToken;
window.location.href = url;
(如果身份验证令牌中可能包含特殊字符,您可能需要先对其进行转义)
然后,在另一个域上,检查搜索参数中是否有token,如果有,将其提取并保存到localStorage:
const paramsMatch = window.location.href.match(/\?.+/);
if (paramsMatch) {
const params = new URLSearchParams(paramsMatch[0]);
const authToken = params.get('token');
if (authToken) {
localStorage.authToken = authToken;
}
}
由于域使用 HTTPS,因此将令牌放入 URL is safe - 窃听者将无法看到它。
【讨论】:
这是localstorage 和sessionstorage 的限制。你不能。 iframe 有一些解决方法,但它们既不优雅也不安全。您应该使用具有适当域属性domain=example.com 的cookie。您可能还想阅读以下关于 cookie 与本地存储的安全性的答案:https://stackoverflow.com/a/54258744/1235935
【讨论】: