文档介绍:跨域认证简单解决方案- 使用第三方 Cookie 概述跨域认证,意味着用户在一个入口登录后可以无障碍的漫游到其它信任域。也就是所谓的单点登录(SSO) 。对于大型的服务提供着,常用的方法有:使用安全断言标记语言(SAML) 、基于公开密钥技术(PKI-Pubic Key Infrastructure) 的 Kerberos 网络认证协议或者使用 Windows 采用的认证方案 LanManager 认证(称为 LM 协议-对于 NT 安装 Service Pack4 以后采用 NTLM v2 版本)。这些认证方式需要单独的认证服务器,对于普通的使用者来说,既难已实现,也不太可能搭建单独的服务器。有没有一种简单又安全的认证方式呢? 本文的目标使用 Cookie 和 SHA1 结合实现简单又安全的认证,如用户在 中登录后,无需再次登录就可以直接使用 中提供的服务。 Cookie 是什么 Cookie 是由 Web 站点创建的小文本文件,存储在您的计算机上。这样,当您下一次访问该站点时,它可以自动获取有关您的信息,例如浏览喜好,或您的姓名、地址及电话号码。关键词 SSO(Single Sign-On )-单点登录 SAML(Security Assertions Markup Language)- 安全断言标记语言 Cross-Realm Authentication -跨域认证 PKI(Pubic Key Infrastructure)- 公开密钥技术 SHA1(Secure Hash Algorithm 1)- 安全哈希算法 1 P3P(The Platform for Privacy Preferences) 隐私参数选择平台单一认证模型 1、用户使用 登录服务器 2、在 中自动嵌入 iframe 其 src 指向 的 3、 认证成功后在客户端写入 Cookie ,通过 iframe 调用 传递认证参数(经过 SHA 1 后)4、 认证成功后在客户端写入认证 Cookie 5、完成 和 的统一认证问题: 上面提到的过程如果使用 FireFox 浏览器 能够成功写入 Cookie, 如果使用 及以上版本 写入 Cookie 失败。原因: IE 支持 P3P,IE 6的缺省隐私等级设置为"中"——即"阻止没有合同隐私策略的第三方 cookie" 。而在用户浏览 时 写入的为第一方 Cookie, 其嵌入的 iframe 指向 这时 写入的就为第三方 Cookie 了,所以它是被 IE当在了大门外。解决方法: 让用户改变 IE安全策略,允许第三方 Cookie, 这似乎很简单,可是用户会听你的吗?另一种解决方法使用 P3P ,在 中添加 P3P 头。网上 google 一下好像很多,本着不求甚解的原则 Copy 来就是了。如下: header('P3P: CP="CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA NAV OTC NOI DSP COR"