当我登录主站点时,子域名认为我已退出,为什么单击登录链接会立即让我登录?

当我登录主站点时,子域名认为我已退出,为什么单击登录链接会立即让我登录?

比如,如果我已在 battlelog.battlefield.com 上注销,但在 origin.com 上登录,则只要我单击“登录”,它就会立即执行登录,而无需我输入用户名或密码。

怎么了?

(不,这不是 lastpass 自动登录我)

答案1

可能是网站使用了 SAML 等单点登录系统。您将拥有主身份验证端点的 cookie,但没有子域的 cookie。当您按下登录时,您将被重定向到主身份验证端点,子域作为请求的参数。单点登录系统会发现您已经通过身份验证,要么将您送回子域的身份验证端点并显示“是的,此用户已通过身份验证”,要么为子域设置 cookie(小型黑客行为并不常见)。

这张图描述了这一点: https://docs.wso2.com/download/attachments/28707597/saml-diagram.png 子域名将是服务提供商,主身份验证端点将是身份提供商。(抱歉,我的品牌标识太明显了,这是我能找到的最简单的图表:))

答案2

他们通常在登录系统中使用 cookies。有些网站会要求您按“提交”按钮,但有些网站会让您自动登录。查看网站的 cookie 政策,那里有答案

相关内容