Prova così:

• L'utente compila il form con username e password. Inviali tramite ajax all'action di login;
• L'action ti restituisce un token JWT in cui metti giusto lo username e i domini per i quali deve essere emesso il cookie;
• Il joken JWT è leggibile anche da javascript, perciò estrai da lì il primo dei domini e fai una ridirezione verso quel dominio, ad un indirizzo tipo dominio.com/cookie/generate/abcd, dove abcd è il token JWT;
• L'action generate del CookieController riceverà tale token JWT, ne verificherà l'integrità e verificherà anche che dominio.com sia presente nel token;
• Se la verifica ha successo, l'action generate emetterà il cookie di autenticazione e contestualmente farà una ridirezione verso altrodominio.com/cookie/generate/abcd;
• Il ciclo si ripete finché l'ultimo dominio non ha emesso il cookie. A quel punto reindirizzerà l'utente da qualche parte (es. l'homepage o un indirizzo inserito anch'esso come claim nel token JWT).

Il fatto che un token JWT è firmato grazie a una chiave segreta, che non viene mai divulgata lato client, ti permette di fare le ridirezioni con tranquillità, senza il rischio di manomissione.

ciao,
Moreno

---

Modificato da BrightSoul il 26 luglio 2019 19:52 -