使用多个选项卡控制 cookie

Question

我有一个特殊的问题。我的应用程序具有不同级别的身份验证，并且一个特定级别（超级用户）需要能够将应用程序用作具有较低权限的另一个用户（子用户）。

我们确定，当 sup 用户选择子用户时，会在浏览器中打开另一个选项卡，并加载子用户权限和他各自的 cookie。 我们遇到的问题是：我们如何在这个新选项卡中获取新 cookie 的引用？

另外 sup 用户可以打开这么多标签，每个标签都需要引用自己的 cookie。

Answer 1

我认为您的 sup 用户应该被设置为允许查看子用户的数据而不查看 cookie。这意味着，当您以 sup 身份登录时，sup 身份验证 cookie 适用于任何子。这对你有意义吗？

当您尝试检索 sub 的数据时，请询问 sub 的凭据/cookie 或检查是否有 sup 的 cookie。如果有 sup 的 cookie 或用户提供了 sup 的凭据，那么您就可以开始了。

Answer 2

遗憾的是，没有办法以这种方式直接限制 cookie 的范围。但是，解决您的问题的一种方法是为您的网站创建一个镜像 URL，并将 cookie 的路径限制为镜像；例如，将普通 cookie 的路径限制为 www.example.com，但创建一个镜像 URL mirror.example.com（使用符号链接或其他功能在内部指向 www.example.com）。但是，这不仅是您想做的大量工作，而且仅限于允许主用户和一个备用用户。

另一种不依赖于 cookie 的解决方案是创建一个 GET 变量，当附加到您网站上的 URL 时，会导致具有足够特权的用户冒充另一个用户（例如 &altUser=subUser）。然后，为了使这个在选项卡中持久化，自动将相同的变量附加到使用它生成的页面上的每个链接的末尾。