为什么禁用第三方 Cookie 不会阻止身份验证站点、LiveID、OpenID 等?
我不想让这个问题政治化,但我需要解释我的动机,以帮助那些可能回答这个问题的人。
我一直在关注 Google/Verizon 反对网络中立的权力争夺。我对他们的声明感到不满,因此决定不再通过被动地选择参与他们的数据挖掘工作来奖励 Google。
我的假设是,切换搜索引擎并关闭第三方 Cookie 是一个很好的举措。
让我困惑的是,LiveID、OpenID 等身份验证网站仍然有效。有人能解释一下为什么会这样吗?我原以为,由于它们是不同的域名,所以不会起作用。
答案1
对于 openID cookie 的使用由依赖方决定。一般来说,它的工作原理如下:
- 用户向 OpenID 依赖方提交 URL
- 依赖方检查 URL 中的 OpenID 信息
- 依赖方检测认证方,并通知认证方用户希望进行认证。
- 认证方检查用户是否已经通过认证(cookies:认证站点检查他们自己的 cookies)。
如果用户登录,依赖站点可能会在自己的域下发布自己的 cookie。
如果用户未登录:
- 用户被转发到认证方的登录页面
- 如果用户登录成功,认证方将设置其所需的任何 cookie,并通知依赖方用户已通过认证。
- 依赖方设置他们需要的任何 cookie 并允许用户进入。
请注意,其中没有任何第三方 cookie。据我了解,LiveID 的工作方式大致相同,LiveID 身份验证服务器会通知第三方网站用户已成功登录以及他们以谁的身份登录,这允许第三方服务器与用户进行交互,就像他们在本地登录一样。
答案2
我认为这些网站使用的是证书和共享凭证,而不是 cookie。您可以阅读更多这里。