Appengine和非Appengine子域上的OpenID身份验证

您不能真正重用身份验证令牌。你应该使用类似于OAuth的东西,但是由于你控制了两端,你可以使它变得更简单:

1. 生成一个共享秘密,可由main.example.com和service.example.com访问。
2. 当用户第一次访问service.example.com(没有身份验证cookie)时,是否将其重定向到main.example.com/auth?continue=original_url(其中original_url是他们试图访问的URL)
3. 当您收到对main.example.com/auth的请求时,首先以常规方式(如果用户尚未登录)记录他们。然后,获取他们的用户ID或其他相关凭证,并生成 HMAC 使用您在步骤1中建立的共享秘密。将用户重定向到service.example.com/finish_auth,传递计算出的hmac、身份验证详细信息(如用户ID)以及传入的任何参数(如continue url)。
4. 当您收到service.example.com/finish_auth的请求时,如上所述计算HMAC,并检查它是否与传入的HMAC匹配。如果是这样,您就知道请求是合法的。在service.example.com上设置包含任何相关详细信息的身份验证cookie,并将用户重定向回其原始URL。

这听起来很复杂,但在实现中相当简单。这是在相互信任的系统之间“传递”凭证的标准方法,这与许多SSO系统使用的方式并无不同。