【发布时间】:2010-11-06 01:32:27
【问题描述】:
我很好奇跨域身份验证的工作原理?例如。要登录 Orkut.com,您需要通过 Google.com 登录。因此,身份验证发生在 Google.com 并设置 cookie。所以我现在的问题是 Orkut.com 如何在没有其他信息的情况下读取此 cookie 或对用户进行身份验证?
可能会出什么问题?
【问题讨论】:
标签: authentication web-applications cross-domain
【发布时间】:2010-11-06 01:32:27
【问题描述】:
此链接可能会有所帮助。
http://code.google.com/apis/accounts/docs/AuthForWebApps.html
请注意,Orkut 是 Google 服务之一。
OpenID 是 SO 中实际使用的另一种解决方案。
【讨论】:
-
谢谢,但我想了解这些解决方案背后的概念。
-
最基本的概念是网络应用提供者和身份验证提供者需要建立某种协议来建立对黑白的信任。在 Orkut 的情况下,网络应用程序将向 google auth 服务发送未经身份验证的请求,并且 auth 服务将针对该特定服务(在本例中为 orkut)发出令牌并将请求重定向回应用程序提供商。提供者将在 Cookie 中查找特定令牌(通常称为 GoogleAuth 或 GoogleLogin)并使用已知的信任密钥进行验证,完成后,请求被视为已验证。
orkut 可能正在使用 google 的 OpenID+oAuth 对用户进行身份验证。这意味着您的 orkut 个人资料中可能存储了一个 google 身份 URL,并且 orkut 将您发送到 google,以便您可以验证通过浏览器登录的用户确实拥有 google 身份。如果 orkut 验证您拥有该身份,则 orkut 可以安全地为您分配 orkut 的身份验证 cookie。
【讨论】: