Как работает Google Global Login?
https://stackoverflow.com/questions/1230997
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
При каждом входе в один из сервисов Google я автоматически регистрируюсь на всех других их сайтах в разных доменах.
Я хочу знать, как они могут получить доступ к разрозненным файлам cookie и сеансам, которые принадлежат другому домену.
Я попытался выполнить поиск в Интернете, но не смог найти никакой информации. Я мог бы вытащить клопа и попытаться выяснить, но я уверен, что кто-то здесь знает.
Решение
Логин Google работает следующим образом:
1) Вы входите, как правило, на странице входа, которая находится в домене Google.com/accounts.
1a) Если вы не находитесь в домене Google.com/accounts, он отправит вас туда после того, как вы отправите форму. Это можно найти на сайтах, таких как Blogger.
Когда вы попадаете в домен Google.com/accounts, они выполняют две вещи
2) Они устанавливают файлы cookie, специфичные для домена Google.com/accounts, которые также можно отправлять только через безопасное соединение. Это для проверки вашей личности позже.
Я говорю несколько, потому что к домену google.com/accounts привязано несколько файлов cookie. Я считаю, что один из них - убедиться, что все не сработает, если не разрешены безопасные соединения
3) Они устанавливают cookie, который охватывает все домены, используя .google.com в качестве своего домена, потому что это сделает cookie доступным для любого домена.
4) Они пересылают тебя обратно.
5) Если это сайт в другом домене, например блоггер, они отправляют ключ авторизации в URL. Страница его видит, проверяет и устанавливает cookie для другого домена. Подобную технику можно увидеть, используя Google Oauth.
Вот где приходит этот безопасный cookie.
Если вы заметите, что когда вы заходите на сайт после закрытия браузера, они перенаправляют вас на путь google.com/accounts, где они проверяют вас в безопасном соединении, а затем сбрасывают cookie для всего поддоменов. Затем они отправят вас обратно.
Кроме того, некоторые сайты, такие как Google Adsense, используют ту же технику, что и Google.com/accounts, создавая безопасный cookie-файл по определенному пути, а затем используя более глобальные cookie-файлы, чтобы расширить доступ.
Отчасти это предположение, но, учитывая то, что видит незнакомый человек, я считаю, что это близко к истине.
Примечание. Я буквально целый месяц провел, просто просматривая сайт Google и просматривая сайт Google, чтобы узнать, как они работают. Голосуя над этим постом, вы уменьшаете грусть, которую я испытываю из-за отсутствия жизни
