中華電信的單一登入系統…

Posted on July 8, 2010 by Gea-Suan Lin

前陣子發現 Xuite Blog 有時候會被導到登入頁?後來發現只要在 emome 登入過就會造成 Xuite Blog 上不去。

先就症狀猜了老半天,然後用 Firebug 看了半天,但因為 Firebug 在 redirect 後會重新紀錄,所以猜不出原因…

直到後來被 jnlin 提醒用 HttpFox 抓,才看出來中華是怎麼玩的…

中華電信的單一登入系統在 cht.com.tw 網域下,而為了要讓其他網站可以取得資訊,利用多次 redirect 帶入授權資訊讓 emome.nethinet.netxuite.net 設定 cookie 登入。(也就是 http://member.*/HiReg/setcookie?... 這些 redirect request)

這讓我想到 OpenID 好像有支援 AJAX style 的登入方式,缺點是會用到 javascript?該看一下了…

Related Posts:

  • No Related Posts
This entry was posted in Blog, Computer, Murmuring, Network, Security, WWW. Bookmark the permalink.
  • http://timc.idv.tw/ timdream

    > 這讓我想到 OpenID 好像有支援 AJAX style 的登入方式,缺點是會用到 javascript?該看一下了…

    AJAX 的「缺點」的確是會用到 Javascript :P 不過 OpenID 不適用 AJAX 也可以做 SSO。

    OpenID 跨網域發認證有兩個 mode,一個是 checkid_setup 另一個是 checkid_immediate。前者是傳統的登入介面,切換到後者 OP 就不能顯示「請使用者同意」的網頁,只能直接 redirect 回去跟 RP 說認證成功或是失敗。

    Facebook 和 Blogger dashboard 用 checkid_immediate 和 Google OpenID OP 拿認證,等於是實做了 SSO。Fb 還用 script 很巧妙的把認證 redirection 用 iframe 跑,所以使用者幾乎看不出來。

    (話說最近在寫一本 OpenID 認證實作的手冊…)

  • anton

    hihi, firebug 的 toolbar 上面有一個 persist 的按鈕,按下去就算 redirect 也不會清掉記錄哦。