Security 如何安全地实现类似stackexchange的跨域身份验证系统
我想实现一个类似于StackExchange的跨域身份验证系统。以下是stackexchange使用的流程: 验证用户是否未经过身份验证 如果向/users/login/global发出请求,服务器将使用令牌进行响应 使用步骤2中先前获取的令牌向stackauth.com/auth/global发出请求。服务器返回加载时执行的javascript javascript使用令牌向auth服务器发出另一个ajax请求,并返回另一个令牌authToken 客户端使用authToken向/users/login发出另一个请求。服务器返回一个会话cookieSecurity 如何安全地实现类似stackexchange的跨域身份验证系统,security,authentication,web,Security,Authentication,Web,我想实现一个类似于StackExchange的跨域身份验证系统。以下是stackexchange使用的流程: 验证用户是否未经过身份验证 如果向/users/login/global发出请求,服务器将使用令牌进行响应 使用步骤2中先前获取的令牌向stackauth.com/auth/global发出请求。服务器返回加载时执行的javascript javascript使用令牌向auth服务器发出另一个ajax请求,并返回另一个令牌authToken 客户端使用authToken向/users/l
在我尝试自己实施之前,我想澄清一些步骤。身份验证服务器和当前stackexchange在后端如何交互?第一个和第二个令牌分别做什么?我是否应该注意安全问题 SE使用。我的问题更多的是关于如何将我的a会话从一个域安全地传输到另一个域。请查看meta.stackoverflow帖子: