中華電信的單一登入系統...

前陣子發現 Xuite Blog 有時候會被導到登入頁?後來發現只要在 emome 登入過就會造成 Xuite Blog 上不去。

先就症狀猜了老半天,然後用 Firebug 看了半天,但因為 Firebug 在 redirect 後會重新紀錄,所以猜不出原因...

直到後來被 jnlin 提醒用 HttpFox 抓,才看出來中華是怎麼玩的...

中華電信的單一登入系統在 cht.com.tw 網域下,而為了要讓其他網站可以取得資訊,利用多次 redirect 帶入授權資訊讓 emome.nethinet.netxuite.net 設定 cookie 登入。(也就是 http://member.*/HiReg/setcookie?... 這些 redirect request)

這讓我想到 OpenID 好像有支援 AJAX style 的登入方式,缺點是會用到 javascript?該看一下了...

This entry was posted in Blog, Computer, Murmuring, Network, Security, WWW. Bookmark the permalink.

2 Responses to 中華電信的單一登入系統...

  1. timdream says:

    > 這讓我想到 OpenID 好像有支援 AJAX style 的登入方式,缺點是會用到 javascript?該看一下了…

    AJAX 的「缺點」的確是會用到 Javascript :P 不過 OpenID 不適用 AJAX 也可以做 SSO。

    OpenID 跨網域發認證有兩個 mode,一個是 checkid_setup 另一個是 checkid_immediate。前者是傳統的登入介面,切換到後者 OP 就不能顯示「請使用者同意」的網頁,只能直接 redirect 回去跟 RP 說認證成功或是失敗。

    Facebook 和 Blogger dashboard 用 checkid_immediate 和 Google OpenID OP 拿認證,等於是實做了 SSO。Fb 還用 script 很巧妙的把認證 redirection 用 iframe 跑,所以使用者幾乎看不出來。

    (話說最近在寫一本 OpenID 認證實作的手冊...)

  2. anton says:

    hihi, firebug 的 toolbar 上面有一個 persist 的按鈕,按下去就算 redirect 也不會清掉記錄哦。

Leave a Reply

Your email address will not be published. Required fields are marked *