在不更改应用程序代码的情况下对多个 Web 应用程序进行身份验证

问：

我们托管由不同部门编写和维护的各种 Web 应用程序。目前，这些应用程序中的每一个都有自己的身份验证/授权，这让我们的客户感到困惑。现在，我们希望统一所有 Web 应用程序的身份验证/授权，但不必更改每个应用程序的代码。我们希望构建一个简单的仪表板，客户可以从中访问应用程序。

我们想出的最好的解决方案是具有子请求身份验证的反向代理。

我们在后端构建了带有 jwt 身份验证的仪表板和登录页面。当从仪表板访问应用程序时，我们将 jwt 包含在标头中，代理向后端发出子请求以检查是否允许用户访问该应用程序。但这仅适用于简单的 html 页面，不适用于我们的应用程序，因为在加载初始页面后，应用程序开始对图像、css 等进行自己的请求，并且缺少 jwt 标头，因此请求在反向代理中失败。

有没有使用反向代理的替代方案，或者我们缺少的东西来使它工作？