假设amazon.com在其主页上为google.com设置了重定向标题。访问amazon.com后,浏览器会获取响应,从标题中读取它应该转到google.com,然后继续向google.com发送另一个请求。据我所知,在第二次请求中,浏览器会将之前用户可能拥有的cookie发送到google.com,这是正确的吗?也就是说,如果用户以前在google.com上登录过他的帐户,那么当amazon.com重定向到那里时,他会显示登录。
尝试确保我了解与网络应用中外部各方互动的所有极端案例。
答案 0 :(得分:1)
“浏览器使用google.com发送用户之前可能拥有的Cookie,这是正确的吗?”
是
除非Cookie已过期,否则只要点击了存储了Cookie的域/路径,就会自动将该Cookie与请求标头一起发送。
http://tools.ietf.org/html/rfc6265#section-4.2
但Google的登录程序相当复杂,因为它涵盖了所有域名和系统。它可以重定向一点,通过“记住我的令牌”重新建立用户登录,并从他们的中心auth域设置一个新的cookie。它们不是最直接的例子,但你对它的一般理解是正确的。
The definitive guide to form-based website authentication
此社区维基包含一些有关不同身份验证技术的详细信息,包括“记住我的令牌”。