跨多个域的用户身份validation
在此发布了上一个问题,但有后续跟进。 我试图创建一个解决方法,在昂贵的自定义域上使用SSL。 对于某些安全页面,我愿意与http://www.app.com的用户碰到https://app.heroku.com ,并且需要使用猴子修补的SSL才能实现这一目标。 但是,现在这个问题是确保我的用户在我这样做时登录。 据我了解,cookie不是跨域的。 有没有解决这个问题的方法?
现在正在处理这个问题 – 不,会话没有通过,你可以用iframe等做一些黑客行为,但是你会得到安全警告,不是页面上的所有东西都是安全的……
如果你想保持安全,你不能跨域传递任何东西……
我找到的唯一方法是在https页面的url + user_id中传递自定义的authenticity_token(你可以只做md5("#{user.id} The Secret") )并检查你是否在https上得到了相同的结果页…
不是太复杂,但有点难看……
在我的情况下,它是一个支付页面,所以我真的不在乎用户是否登录,因为如果有人破解它 – 他最终会为别人付钱:)
好吧,您可以尝试http://www.chrisbaglieri.com/2010/01/01/heroku-hacks-ssl.html ,看看它是否符合您的需求。 它不是一个完美的解决方案,但它在一定程度上是安全的。 如果您使用不同的身份validation,则可能需要自己实现。