问题
假设我有 example.com、example.org 和 example.net。
所有这些站点都有一个登录名,该登录名根据相同的用户凭据库进行身份验证。
我正在寻找一种有效的方式来只登录一个地方,但仍然能够在网站上透明地登录。
我当前的解决方案
......在其中一个站点(我称之为主站点)上加载资源的 iframe,如果用户在主站点登录,则使用令牌刷新页面并通过自动登录用户一些JavaScript。
但这实际上是低效和不安全的,原因如下:
- 用户需要在主站点登录
- 用户需要使用一些客户端代码刷新他的页面(我知道可能无法避免这种情况)。
- 使用 iframe 通常不受欢迎,有些甚至有浏览器插件阻止这些。
我不想要
什么我
对使用 Facebook、Google 或 OpenID 提供商等第三方提供商不感兴趣,因为这需要我的用户在第三方网站上注册才能使用我的服务。
总结具体问题
就像谷歌甚至 StackOverflow 一样,站点之间的身份验证过程似乎是透明的,我需要类似的东西。我目前的解决方案有什么更好的选择?