项目中时常遇到这样的场景,一个公司,好几个项目,项目A是在移动终端,登陆后,需要跳转到B项目的活动页面,而且是不需要再次登录B项目,直接就能在B项目活动里抽奖或者购买东西。如果只是功能上实现,容易实现。那么安全性就会存在以下几点问题。
1.A域跳转到B域的时候,认证的请求被劫持,劫持者拿着认证的请求是不是也能直接跳转到B域?
2.A域跳转到B域后,B域中的Cookie信息是不是与A域一样,最终实现,一个Cookie在两个域中都可使用?
3.B域再跳回A域,是不是又得重新认证?
以上只是AB域,实际中,存在的域名或许更多.
针对以上问题,相较于目前已经成熟的方案,JWT(Json web token)和Ticket一次性凭证。