Аутентификация пользователя через несколько доменов

Question

Написал предыдущий вопрос по этому вопросу, но последует за ним. Я пытался создать обходной путь для использования SSL в дорогом пользовательском домене. Я готов жить с ударом пользователя до https://app.heroku.com от http://www.app.com для определенных защищенных страниц и для обеспечения этого требуется SSL с защитой от обезьян. Однако теперь эта проблема заключается в том, что мой Пользователь вошел в систему, когда я это делаю. Насколько я понимаю, файлы cookie не являются перекрестными доменами. Есть ли способ обойти эту проблему?

Answer 1

Имел дело с этой проблемой прямо сейчас - нет, сессия не прошла, вы можете взломать iframe и т. Д., Но затем вы получите предупреждение о безопасности, что не все на странице защищены ...
Вы не можете передать что-либо перекрестному домену, если хотите сохранить его защищенным ...
Единственный способ, которым я нашел это передать пользовательскую аутентичность_token в url + user_id страницы https (вы можете сделать только md5("#{user.id} The Secret")) и проверить, вы получите тот же результат на странице https ...
Не слишком сложно сделать, но немного уродливым ...

В моем случае это платежная страница, поэтому я действительно не автомобиль e, если пользователь вошел в систему, потому что, если кто-то его взломает - он просто в конечном итоге заплатит за кого-то :)

Answer 2

Ну, вы можете попробовать http://www.chrisbaglieri.com/2010/01/01/heroku-hacks-ssl.html и посмотреть, подходит ли оно вам. Это не идеальное решение, но оно безопасно до определенного уровня. Если вы используете другую аутентификацию, вам может потребоваться ее реализовать самостоятельно.