Как аутентифицировать пользователей по доменам в встроенном виджете без сторонних файлов cookie? ⇐ Javascript

[Anonymous]

Мне нужна помощь в выборе метода интеграции моего виджета в приложение моего клиента. < /p>
Моя система должна распознать каждого пользователя моего клиента. Для простоты, допустим, домен моего клиента - client.com , а мой домен - widget.com .
Идея заключается в том, что когда пользователь входит в API.Client.com Backend, создается cookie. Каждый запрос на выборку, отправленный с клиентского. API API.widget.com ). Я также рассмотрел iframes, но они все чаще заблокированы и нестабильны. Мой виджет отправляет запросы на widget.client.com , чтобы разрешить первые куки, которые затем отправляются. Но это требует тяжелой работы моего клиента: настройка Cname, обратный прокси, SSL-сертификаты и т. Д., Которые побеждают цель простого в использовании виджета. Отправьте его на api.widget.com в заголовках. Это работает, но если есть уязвимость XSS или злонамеренное расширение браузера, злоумышленник может украсть печенье и выдать себя за пользователя. Он только разоблачает разговоры и кампании пользователя в чат -ботах, но я все еще хочу, чтобы это было безопасно. Я подумал о добавлении:

[*] refreshtoken (httponly), чтобы обновить не-httponly cookie каждые 15 минут,
[*] Ограничение одного Cookie на IP,
, переоценивая пользователь, если их IP-изменение. /> < /li>
< /ol>
Это помогает, но это не пуленепробиваемое (если злоумышленник разделяет один и тот же IP, он все еще ломается). < /p>
Я рассматривал множество других методов, но у всех есть проблемы с блокировкой браузера. Я застрял, думая об этом постоянно и не могу продолжить развертывание, документацию или проект.

Подробнее здесь: https://stackoverflow.com/questions/796 ... -third-par