网站安全 - 1 个主站点，1 个在主站点内托管的辅助站点

Question

场景：

ASP.NET 5 / Razor 页面 / C#

我们有一个主站点，安全性非常好。在后台，所有密码都被加密。此外，日志包含所有登录用户名、IP 地址、在任何时间访问。

我们有第二个站点，它主要通过 iframe 在前端可视化地托管在主站点内，但不在服务器上。他们不会在同一个网络应用中生活在一起。

问题：

我需要确保辅助站点访问是安全的，同时依赖于用户已经通过主站点成功登录的事实。我不希望用户需要两次登录到两个系统，而是希望单次登录能够流畅地允许访问辅助站点。

我有一个我现在正在使用的方法。它有效，但我真的很想深入研究，看看我是否可以改进这一点，因为我在网站安全方面的经验并不丰富。我确信有更好的方法。

选项？

Answer 1

从安全的角度来看，使用 iframe，两个站点是独立的。
所以需要保证双方都下发了安全流程。

您有多种可能性，但我认为最好的方法是在“iframed”网站中重新验证用户。

您可以使用从主网站生成并存储在后端数据库中的令牌，并将其传递给 iframe 网址。
iframe 的端点必须读取令牌，调用后端 API 来验证它并允许访问。

您遇到的主要问题是在合理的时间后刷新令牌，以确保“iframed”网站在使用过程中的有效性。