Кроссдоменная авторизация и HTTPS
Хочется вынести общую авторизацию на auth.foo.com
В принципе просто так это уже обсуждалось и здесь в том числе
- Что будет, если я сделаю доступ к auth.foo.com через https://auth.foo.com, естественно с валидным сертификатом, всё нормально. А все остальные сайты будут доступны только по обычному http без SSL.
- Что покажут в этом случае браузеры, не будут ли они выдавать ненужных сообщений?
- Что будет, если ссылки для возврата с OpenID и OAuth-авторизаций тоже будут вести на https://auth.foo.com? (сторить у себя пользователей и их токены тоже надо).
- Что будет, если ссылки на OpenID и OAuth-авторизацию будут вести на https://auth.foo.com (то есть авторизация не JS-ом через API сервиса, а через серверный модуль типа lightopenid или facebook/php-sdk)?
- Больше всего волнуют появляющиеся окошки в ие вида "вы переходите на безопасное соединение" или "страница содержит опасные элементы", так как как минимум у одного из сайтов на поддомене 95% аудитории - пользователи IE.
видел описание реализации авторицации точь в точь по твоему примеру в книге Профессионально программирование на PHP Джордж Шлосснейгл
Посмотрел в издании 2006 года, про авторизацию вроде вообще 1 глава - тринадцатая, в ней про https вообще нет. Есть небольшая глава про написание API и немного про то, что данные в сессии надо шифровать, а больше вроде бы ничего по нужной теме не нашёл.
в разделе описана единая регистрация через один сервер
это можно рассмотреть как идею реализации
мне лень перечитывать этот раздел. если мне память не изменяет то ему все равно используешь ты https или нет