Mozilla的角色(BrowserID)：域+子域登录

Question

下面的问题。

我有一个网站：

• example.com

但也有一些附带的网站让我们说：

• data.example.com
• help.example.com

它们都由同一个烧瓶应用程序运行。现在，我希望用户能够点击登录在任何这些网站，并登录到他们的所有。目前有两个帖子请求可在以下网址获得：

• example.com/api/login
• example.com/api/logout

现在的问题是，当从example.com登录时，一切都运行得很好。我甚至登录到子域本身。谢谢你莫西拉。但是当我从另一个子域登录时，由于域不匹配，我会得到一个失败响应，这对我来说是非常有意义的，因为这是一个安全风险。

我知道两种解决方案：

1. 在子域上，首先重定向到实际域，然后让用户再次单击登录。
2. 为每个子域本身创建/api/login和/api/logout urls。这里的问题是用户需要在他登录到的url上登出

当然，方法2对用户更好。

现在真正的问题是，有没有办法从这些子域登录，而不需要每个域的login/logout urls呢？

如果我需要澄清的话请告诉我。提前谢谢。

Answer 1

一个想法是让data.example.com和help.example.com有一个带有example.com登录按钮的iframe，而不是它们自己的登录按钮所在的这两个子域。

这样，当用户进入这两个子域时，他们最终会单击顶级域(example.com)的登录按钮，并设置一个对这三个域都有效的cookie。

Answer 2

我认为您正在寻找的正是目前在PR 3854中。还有一些关于这里的讨论。看来它很快就能找到主人的路了。