Аутентификация пользователя на нескольких доменах

Question

Опубликовал предыдущий вопрос по этому вопросу, но есть продолжение. Я пытался создать обходной путь для использования SSL на дорогом настраиваемом домене. Я готов согласиться на повышение пользователя до https://app.heroku.com с http://www.app.com для определенных защищенных страниц, и для этого требуется зашифрованный SSL SSL Однако теперь эта проблема связана с тем, что мой пользователь вошел в систему, когда я это сделаю. Как я понимаю, куки не являются междоменными. Есть ли способ обойти эту проблему?

Answer 1

Занимался этой проблемой прямо сейчас - нет, сессия не пройдена, вы можете взломать iframes и т. Д., Но тогда вы получите предупреждение безопасности, что не все на странице защищено ...
Вы не можете передавать что-либо через домен, если хотите сохранить его защищенным ...
Единственный способ, который я нашел, это передать заказной authenticity_token в url + user_id на странице https (вы можете просто md5("#{user.id} The Secret")) и проверить, получаете ли вы тот же результат на странице https ...
Не слишком сложно сделать, но немного некрасиво ...

В моем случае это платежная страница, поэтому мне все равно, вошел ли пользователь в систему, потому что, если кто-то взломает ее, он просто заплатит за другого:)

Answer 2

Ну, вы можете попробовать http://www.chrisbaglieri.com/2010/01/01/heroku-hacks-ssl.html и посмотреть, подходит ли оно вам. Это не идеальное решение, но оно безопасно до определенного уровня. Если вы используете другую аутентификацию, вам может потребоваться реализовать ее самостоятельно.