Отправил предыдущий вопрос по этому поводу, но есть продолжение. Я пытался создать обходной путь для использования SSL в дорогом пользовательском домене. Я готов смириться с перенаправлением пользователя на https://app.heroku.com из http://www.app.com для определенных защищенных страниц, и для этого требуется SSL с исправлением обезьяны. Однако теперь эта проблема заключается в том, чтобы убедиться, что мой пользователь вошел в систему, когда я это делаю. Насколько я понимаю, файлы cookie не являются междоменными. Есть ли способ обойти эту проблему?
Аутентификация пользователя в нескольких доменах
Ответы (2)
Занимался этой проблемой прямо сейчас - нет, сессия не пройдена, вы можете немного взломать iframes и т. д., но тогда вы получите предупреждение системы безопасности о том, что не все на странице защищено...
Вы можете' не передавать что-либо междоменное, если вы хотите обеспечить его безопасность...
Единственный способ, который я нашел, — это передать сделанный на заказ Authentication_token в url + user_id страницы https (вы можете сделать просто md5("#{user.id} The Secret")
) и проверить, получаете ли вы тот же результат на странице https...
Не слишком сложно сделать, но немного некрасиво...
В моем случае это платежная страница, поэтому мне все равно, авторизовался ли пользователь, потому что если кто-то ее взломает - он просто заплатит за кого-то другого :)
Ну, вы можете попробовать http://www.chrisbaglieri.com/2010/01/01/heroku-hacks-ssl.html и посмотрите, подходит ли он вам. Это не идеальное решение, но оно безопасно до определенного уровня. Если вы используете другую аутентификацию, вам может потребоваться реализовать ее самостоятельно.