基于EasyXDM的跨域认证

Question

我正试图像谷歌一样进行登录，其中包括跨域认证。当登录到google.com时，您将自动登录到不同的域，如youtube.com。对我来说，就像：

• 在accounts.google.com输入凭据
• Google通过AJAX发送请求来检查它们。
• 如果它们是正确的，则它1.设置一个cookie，2.请求是否发送到youtube这样的其他域，并发送一些标识符(SID或令牌？)并为这些域设置cookie。
• 毕竟，所有其他域都已就位，Google将您重新定向回您来自的位置。

我进行了大量的研究，似乎easyXDM (http://easyxdm.net/wp/)是一个很好的解决方案(您认为是吗？)但我不知道如何进行跨域认证。当用户正确登录时，我应该只向其他域发出请求并传递SID并在域上创建cookie吗？还是不安全？或者我应该在登录后为用户创建一个令牌，并将其存储在我的DB中。然后将令牌发送到所有域以验证他的身份，然后删除令牌？

我发现的其他一些东西是通过iframes找到的解决方案。谷歌analytics.js (https://developers.google.com/analytics/devguides/collection/analyticsjs/cross-domain)看起来也很刺激.但我看到它甚至在easyXDM中是整数的。

如果你们有这方面的经验的话。我很想读一下你的看法:)

Answer 1

你想要的是OAuth2 (这是你指的协议--谷歌登录所做的)。

如果您正在寻找一个简单的解决方案，您可能需要尝试使用类似于风暴路径 + IDsite的方法。这是一个免费的API服务，您可以注册/使用。

基本上，当您希望用户创建帐户或登录时，他们将为您托管一个域，您可以在其中重定向用户。然后，它们将处理所有身份验证/授权(跨域)，并使用JSON令牌(JWT)将经过身份验证的用户发回。

Stormpath有一堆用于各种编程语言的库，您可以从这里开始：https://docs.stormpath.com/home/

人们通常使用的其他解决方案需要相当多的时间/精力才能运行。实际上，我已经帮助构建了很多Stormpath库(在Node /Python中)，所以我对它非常熟悉--在简单性方面，您是无法超越它的。