前陣子發現 Xuite Blog 有時候會被導到登入頁?後來發現只要在 emome 登入過就會造成 Xuite Blog 上不去。
先就症狀猜了老半天,然後用 Firebug 看了半天,但因為 Firebug 在 redirect 後會重新紀錄,所以猜不出原因...
直到後來被 jnlin 提醒用 HttpFox 抓,才看出來中華是怎麼玩的...
中華電信的單一登入系統在 cht.com.tw 網域下,而為了要讓其他網站可以取得資訊,利用多次 redirect 帶入授權資訊讓 emome.net、hinet.net、xuite.net 設定 cookie 登入。(也就是 http://member.*/HiReg/setcookie?... 這些 redirect request)
這讓我想到 OpenID 好像有支援 AJAX style 的登入方式,缺點是會用到 javascript?該看一下了...
> 這讓我想到 OpenID 好像有支援 AJAX style 的登入方式,缺點是會用到 javascript?該看一下了…
AJAX 的「缺點」的確是會用到 Javascript :P 不過 OpenID 不適用 AJAX 也可以做 SSO。
OpenID 跨網域發認證有兩個 mode,一個是 checkid_setup 另一個是 checkid_immediate。前者是傳統的登入介面,切換到後者 OP 就不能顯示「請使用者同意」的網頁,只能直接 redirect 回去跟 RP 說認證成功或是失敗。
Facebook 和 Blogger dashboard 用 checkid_immediate 和 Google OpenID OP 拿認證,等於是實做了 SSO。Fb 還用 script 很巧妙的把認證 redirection 用 iframe 跑,所以使用者幾乎看不出來。
(話說最近在寫一本 OpenID 認證實作的手冊...)
hihi, firebug 的 toolbar 上面有一個 persist 的按鈕,按下去就算 redirect 也不會清掉記錄哦。