它不是我正在寻找的明确的跨域会话,但它是解释我想要的内容的最简单方法。
我有一个创建网站的系统。
这些网站托管在许多不同的服务器上。
用户可以创建他们的帐户,然后他们可以创建很多网站。
他们可以创造
www.mysite.com
子域名.mysite.com
并创建许多不同的网站。
有时,站点之间会完全不同,但有时,这些站点实际上链接得非常紧密,以至于它们应该被视为同一站点。
例如:
(完全不同的域)
mysite-news.com
mysite-blog.com
或(相同域,不同子域)
新闻网
博客.mysite.com
我需要的是一种让用户在他们想要的地方创建某种联合的方法,该联合允许通过单击复选框来允许他们想要允许跨站点登录。我无法更改配置,除非它是永久性更改并且不会影响其他站点,因为数千个站点将受到影响。
您认为支持这一点的最佳方式是什么?
OpenID、单点登录?
我需要一些简单的方法来让站点创建“联盟”,然后允许它们的登录跨域。如果有人想加入,那么他们就可以加入。
OpenID 提供了一些不错的功能,但不幸的是,您正在寻找的跨域行为并不是在标准 OpenID 实现中找到的。 OpenID 的主要设计原则之一是,未经用户明确同意,提供商不得披露有关用户的任何信息*,因此任何信誉良好的 OpenID 提供商都不会告诉 mysite-news.com 您已经登录 mysite-blog .com 而不征求用户批准。
[用技术术语来说,这里发生的情况是,从概念上讲,mysite-news.com 和 mysite-blog.com 处于同一安全“领域”,但 OpenID 通过 URL 模式识别领域,并且由于它们位于不同的域,因此不匹配。]
这并不能给你带来你想要的用户体验。之前的一些答案很好地概述了您在这里需要的系统类型:
- 跨域登录 [...]
- 多个站点上的透明用户会话 [...]
简而言之,您将在 login.mysite.com 上设置某种身份验证服务来回答来自 mysite-news.com 和 mysite-blog.com 的查询。您仍然可以通过多种方式利用 OpenID。
其中描述的重定向到登录并返回签名令牌流程正是 OpenID 所做的事情。因此,您仍然可以使用 OpenID 实现来管理签名令牌和重播保护,您的客户端站点只需跳过 OpenID 的初始“发现”部分,并始终将用户重定向到 login.mysite.com 提供商。并且 login.mysite.com 可以跳过“我信任 mysite-blog.com 吗”的步骤,因为它是一个特殊用途的提供商,可以拥有自己始终与之合作的网站白名单。 OpenID 在这里纯粹是在幕后,用户永远不会知道 OpenID 以某种方式参与其中。
反过来,login.mysite.com 可以使用 OpenID 要求用户针对其 OpenID 提供商(无论是 Google、Yahoo 还是像 myOpenID 这样的专家)进行身份验证。从那里开始,它看起来就像一个标准的 OpenID 登录,您将获得所有好处,缺点是您的登录重定向链会变得更长(并且相应地更慢)。他们就是休息时间。
祝你好运。这是一个经常出现的问题,而且我还没有找到一个可以向人们指出的非常好的参考实现,所以如果您发现一些好的东西,请回来告诉我们。
Lastly, Matasano Chargen 关于该主题的剧本的必要链接.
[*] 最近的 Google Buzz 惨败很好地提醒了人们,当您让用户惊讶地发现他们的信息与谁共享时,会发生什么。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
