在跨域名的应用之间共享 Token(三)

已于 2025-05-06 13:21:23 修改
阅读量200 收藏 5
点赞数 2
文章标签: 前端 javascript 开发语言
于 2025-03-26 15:53:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_51429350/article/details/146532384
版权

五、使用 PostMessage 的跨窗口通信(用于临时或有限场景)

通过浏览器 window.postMessage API 在不同窗口间安全传递 Token。

同源窗口(协议、域名、端口一致)之间可以自由通信,无需指定 targetOrigin
非同源窗口(跨域)必须通过 postMessage 明确指定目标的 targetOrigin,并验证消息来源。

浏览器对单次传递的消息内容有大小限制(通常为 5-6MB)。超过限制时,消息可能被截断或直接失败。解决方案:分批次发送大数据,或使用二进制格式(如 ArrayBuffer)。

如果目标窗口已关闭或不存在,postMessage 会静默失败,不会触发错误。

 即使设置了 targetOrigin接收方仍需通过 event.origin 验证发送者身份,防止中间人攻击。

// 发送方
window.postMessage(message, targetOrigin, [transfer]);
// 参数:
// message:要发送的数据(支持对象、字符串、可序列化的类型)
// targetOrigin:目标窗口的源(如 "https://example.com" 或 "*" 表示任何来源)
// transfer:可选,用于转移对象所有权(如 ArrayBuffer)

// 接收方
window.addEventListener('message', function(event) {
  // 验证来源
  if (event.origin !== 'https://trusted.origin.com') return; // 只接收指定来源
  // 处理消息
  console.log(event.data); // 消息内容
});

 场景说明

  • 当用户在两个不同域名的应用间跳转时,通过新开标签页传递 Token。
  • 例如:应用A登录后,通过弹出窗口告知应用B用户已登录。
实现步骤

  1. 应用A在登录后向应用B发送消息:

// 应用A:
const otherWindow = window.open('https://appB.com/message', '_blank');
otherWindow.postMessage(
  { type: 'login', token: 'your_jtw_token' },
  'https://appB.com'
);

 2.应用B监听消息并验证 Token:

// 应用B:
window.addEventListener('message', (event) => {
  if (event.origin !== 'https://appA.com') return; // 验证来源安全
  if (event.data.type === 'login') {
    const token = event.data.token;
    // 验证 Token 后存储到本地
    localStorage.setItem('user_token', token);
  }
});

【SpringBoot】44、SpringBoot中整合JWT实现Token验证(整合篇)
Asurplus
02-28 21万+
什么是JWT? Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准((RFC 7519),该 token 被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT 的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 为什么需要JWT? 当我们开发前后端分离项目时,要求我们对用户会话状态要进行一
【Session】多服务器节点间session共享
01-12 7889
在做了web集群后,你肯定会首先考虑session同步问题,因为通过负载均衡后,同一个IP访问同一个页面会被分配到不同的服务器上,如果session不同步的话,一个登录用户,一会是登录状态,一会又不是登录状态。所以本文就根据这种情况给出种不同的方法来解决这个问题:  一、利用数据库同步session  在做多服务器session同步时我没有用这种方法,如果非要用这种方法的话,我想过二种方法:  ...
单点登陆之session问题
小小的祈祷的专栏
08-12 791
Session主要分两部分:    一个是Session数据,该数据默认情况下是存放在服务器的tmp文件下的,是以文件形式存在,而非存储在服务器的内存中;     另一个是标志着Session数据的Session Id,Session ID,就是那个 Session 文件的文
JSON Web Tokens - 资源共享 (CORS)
你今天真好看呀
05-13 1002
文章目录1. 什么是同源策略?2. 什么是同源?3. 什么是CORS?4. CORS功能概览5. 资源共享的工作原理5.1 简单的请求5.2 预检请求6. HTTP 响应标头6.1 访问控制允许来源 Access-Control-Allow-Origin6.2 访问控制公开标头 Access-Control-Expose-Headers6.3 访问控制最大年龄 Access-Control-Max-Age6.4 访问控制允许凭据 Access-Control-Allow-Credentials6.5 访
web token以及CORS(资源共享)
输微
08-24 1656
彻底理解cookie,session,token这篇文章对token解释的比较好 但是, 1)该文中对session的解释不够深入,可以看这篇 session正在被淘汰吗? - 李明阳的回答 - 知乎 https://www.zhihu.com/question/315397046/answer/695069994 2)具体json web token可以看这篇 http://www.ruanyi...
前端传递token(params -> headers)_规范_规则
asdfgh
08-13 560
前端传递token(params -> headers)_规范_规则
vue 前端关于token的使用
sfwqwfew的博客
02-15 1011
token
跨域名应用之间共享 Token(一)
最新发布
m0_51429350的博客
03-26 814
这是最直接的实现方式,适合。
微服务共享token
02-28
由于前端应用可能会托管在一个不同于后端 API 所处名的位置上,在实现源通信之前还需要解决浏览器同源策略带来的限制问题。此时可以通过适当设置 CORS 头部字段使得不同来源间的 AJAX 请求变得合法可行: ```...
实现跨域名应用程序的无缝登陆技术
在实现跨域名应用程序登录时,需要防范XSS攻击: - 输入验证:确保用户提交的数据符合预期的格式。 - 输出编码:对输出到HTML页面的数据进行编码,防止恶意脚本的执行。 - 使用HTTP头控制:利用HTTP内容安全策略...
同一个浏览器下相同名和端口的不同应用,解决token被覆盖问题
weiwei_xue的博客
11-08 4280
今天后端在进行项目测试的时候,提出一个问题。用名加端口号的方式访问项目,相同名、端口号的情况下根据后缀的不同区分不同项目,导致俩个项目的token变成一样的了,从而终止会话。 问题产生原因 浏览器是根据应用名或者IP地址储存session的,相同的名或者IP下,session的名称也就是key不能重复。 用户访问系统a时,存储session信息token等于1,访问系统b时,session信息token被赋值为2,那么再去操作系统a时,检测到session与服务生成的不匹配,就会终止会话。
跨域名应用程序登陆
11-19
跨域名应用程序登录是现代互联网应用中的重要技术概念,它涉及到用户身份验证、安全性和用户体验。随着互联网服务的多样化和平台化,用户往往需要在不同的网站或应用之间无缝切换,而无需反复输入用户名和密码。这...
深入理解token
a378113472的博客
04-14 779
摘要: Token 是在服务端产生的。如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回 Token前端前端可以在每次请求的时候带上 Token 证明自己的合法地位 不久前,我在在前后端分离实践中提到了基于 Token 的认证,现在我们稍稍深入一些。 通常情况下,我们在讨论某个技术的时候,都是从问题开始。那么第一个问题: 为什么要用 Token? 而要回答这个问题很...
Token 共享问题
Leon_Jinhai_Sun的博客
05-30 1340
我的token 目前存储在内存里面: 也就是说,当我们仅仅只有一台authorization-server 时,没有任何问题,但是当 我们使用多台authorization-server 时,由于内存数据无法共享,故用户登录的数据仅 仅保存在一台服务器里面,这就会导致某台授权服务器会误判“是否用户登录”这个问题。 ...
不同()共享登录状态
weixin_44463883的博客
02-25 8961
不同()共享登录状态 1.传统的做法是可以在cookie里面的domain属性设置需要名,这样就可以在多个站点实现共享cookie,也就是可以通过这种方式共享登录状态。这种方式比较简单快捷,但是有一个缺陷就是,共享cookie的站点需要是同一个顶级名,例如xx1.example.com/xx2.example.com。 2.采用的是JWT认证用户,那么,在我的名下登录后,跳转到另一个需要共享登录状态的名时,可以将token一起携带过去,这样,目标站点获取到携带的token后存储下来
系统如何保持Session存活和Token共享问题
热门推荐
纸上得来终觉浅,绝知此事要躬行
07-28 1万+
WMS系统对监管仓进行访问(监管仓内嵌于WMS系统),但是需要登录监管仓系统才能看到引入WMS系统的界面,否则看不了监管仓。这里涉及到一个监管仓访问超时的问题:如果用户一直在WMS上操作,而对监管仓不闻不问,那么一般在30minutes 之后,再次点击监管仓页面就会发现打不开了;同理,如果用户一直停在监管仓操作,那么30minutes之后,回来再次访问WMS时session已超时。
单点登录:两个不同名Vue项目相互跳转并且传递Token
qq_54065476的博客
04-07 5734
前端实现SSO
Vue项目中完全的单点登录实现
一只前端汪的分享
09-15 4448
前言 前段时间公司要求把几个内部系统做成单点登录,不知道单点登录是什么的点击这里,我们的各个系统是部署在不同名底下的,所以这个需求的本质就变成了如何共享token 尝试过程 1.首先共享token,同名下使用cookie的domain配置,这个方式肯定是行不通了。 2.在A系统中跳转B系统的时候,在url上带上token信息,这种方式也不行,首先在url上带token不太安全,其次就是不能保证用户是在A系统中跳转B系统,用户可能在A系统中登录之后,直接打开B系统,所以这种方式也被放弃。 3.我想
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值