mittelding
2011-10-26, 11:33:15
Hallo,
keine sonderlich komplizierte Sache, allerdings fehlen mir irgendwie die Keywords für Google, es kommt nur Mist raus.
Ohne etwas darüber gelesen zu haben hätte ich jetzt vermutet, dass ein von Website (oder zumindest Server) X erstelltes Cookie auch nur von X wieder lesbar ist. Also praktisch eine Art Same-Origin-Policy, so wie es sie bei JavaScript gibt.
Jetzt habe ich in letzter Zeit mit "Claims-based-identity" gearbeitet. Die Kurzversion:
User besucht eine Website im Internet (d.h. entfernt)
diese erkennt ihn als nicht authentifiziert, leitet ihn nahtlos mittels HTTP an einen Security Token Service weiter (der befindet sich z.B. im selben Intranet wie der User, somit kennt er den User und dessen Rechte aufgrund Active Directory Zugriff)
dieser Service stellt dem User ein Token in Form eines Cookies aus und leitet ihn wieder zurück zur eigentlichen Seite
die Seite kann jetzt das Token zur Authentifizierung des Users nutzen und kennt auch seine Rechte
(edit: das ist kein Vorhaben, sondern es funktioniert schon so. Die Frage ist, warum)
Der User muss dabei garnichts machen, ausser abwarten und zuschauen wie der Browser von Seite zu Seite springt, im Idealfall merkt er das nicht mal. Natürlich teilen die Website und der lokale Token Service Zertifikate, um das Token zu signieren und optional zu verschlüsseln. Aber trotzdem, wie kann das sein: zwei offensichtlich völlig unterschiedliche Maschinen kommunizieren über ein Cookie... oder ist das ganz normal und schon immer möglich gewesen?
Die Website kennt übrigens ein paar Infos des Token Services, andersrum gilt das nicht (zwingend).
Danke
keine sonderlich komplizierte Sache, allerdings fehlen mir irgendwie die Keywords für Google, es kommt nur Mist raus.
Ohne etwas darüber gelesen zu haben hätte ich jetzt vermutet, dass ein von Website (oder zumindest Server) X erstelltes Cookie auch nur von X wieder lesbar ist. Also praktisch eine Art Same-Origin-Policy, so wie es sie bei JavaScript gibt.
Jetzt habe ich in letzter Zeit mit "Claims-based-identity" gearbeitet. Die Kurzversion:
User besucht eine Website im Internet (d.h. entfernt)
diese erkennt ihn als nicht authentifiziert, leitet ihn nahtlos mittels HTTP an einen Security Token Service weiter (der befindet sich z.B. im selben Intranet wie der User, somit kennt er den User und dessen Rechte aufgrund Active Directory Zugriff)
dieser Service stellt dem User ein Token in Form eines Cookies aus und leitet ihn wieder zurück zur eigentlichen Seite
die Seite kann jetzt das Token zur Authentifizierung des Users nutzen und kennt auch seine Rechte
(edit: das ist kein Vorhaben, sondern es funktioniert schon so. Die Frage ist, warum)
Der User muss dabei garnichts machen, ausser abwarten und zuschauen wie der Browser von Seite zu Seite springt, im Idealfall merkt er das nicht mal. Natürlich teilen die Website und der lokale Token Service Zertifikate, um das Token zu signieren und optional zu verschlüsseln. Aber trotzdem, wie kann das sein: zwei offensichtlich völlig unterschiedliche Maschinen kommunizieren über ein Cookie... oder ist das ganz normal und schon immer möglich gewesen?
Die Website kennt übrigens ein paar Infos des Token Services, andersrum gilt das nicht (zwingend).
Danke