假如一家公司有 xx.com ,下面有 a.xx.com 与 b.xx.com
- 两个站安全等级要求不同,b.xx.com 有些敏感信息
- 为了统一登录,两个站都读取 xx.com 下的 cookie 作为身份认证
- 我作为 a.xx.com 的管理,诱导某些具有 b.xx.com 权限的人点击 a.xx.com,并记录下 cookie
- 通过工具替换为此人 cookie,就可以登录 b.xx.com
这种问题如何解决呢?各自一套认证是可行的,但是成本可能很高,比如子站很多。
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
https://www.v2ex.com/t/654636
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.