<div dir="ltr"><div class="gmail_extra"><br><div class="gmail_quote">On 29 September 2015 at 17:57, Eric J. Bivona <span dir="ltr"><<a href="mailto:Eric.J.Bivona@dartmouth.edu" target="_blank">Eric.J.Bivona@dartmouth.edu</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div id=":1c9" class="a3s" style="overflow:hidden">My understanding is that the ASpace backend doesn’t trust the frontend, hence the work I did to allow the backend to, essentially, reauthenticate the user before creating a session for them.  Our security team would have had serious reservations about securing such a subversion of the existing architecture, but your mileage will vary.<br></div></blockquote></div><br>Right, normally the backend doesn't trust the frontend. I added an login endpoint on the backend that implicitly trusts the frontend (well, technically all traffic, the frontend isn't special). They are on the same host and the backend is firewalled from even the local network, otherwise I would have had to work out something more robust. </div></div>