假设我有一个长轮询服务器,它可以正常工作 - 当新客户端连接到网站时(他只是匿名连接而没有身份验证),会发出新的GUID并将其存储在签名cookie中,在客户端和服务器之间的轮询期间标识此连接。
现在客户端想要登录并继续作为已认证用户。问题是长轮询服务器(node.js)和Web框架(ASP.NET)作为独立系统运行。我可以使用ASP.NET(MVC)特定的身份验证机制从Web框架的角度进行登录,但这不影响长轮询服务器(其中我仍然被称为某个GUID的人)。如何从长轮询服务器的角度安全地验证用户?针对这种情况是否有任何“最佳实践”?经过身份验证的客户端应该进一步通过其唯一键(例如电子邮件地址而不是GUID)进行标识。