Quale sistema di autenticazione (OpenID, Facebook, ecc.) consente il funzionamento senza Javascript e / o senza cookie?

Question

Quale sistema di autenticazione (OpenID, Facebook, ecc.) consente il funzionamento senza Javascript e / o senza cookie?

#1 da (4 voti)
#2 da (4 voti)
#3 da (2 voti)

8

Sto cercando un sistema di autenticazione che si basi su terze parti (ADFS, OpenID, SAML) ma non si basa su cookie o Javascript ... o almeno può renderli opzionali.

Il mio intento è di degradare e mantenere con garbo lo stato non in un cookie, ma piuttosto mantenere le informazioni sulla sessione in un URI protetto HTTPS, che viene ripetuto per ogni richiesta.

Quali sistemi di autenticazione supportano questa navigazione primitiva?

Sebbene questa domanda non riguardi direttamente il mio server web (e non dovrebbe importare in ogni caso), mi farebbe piacere se potessi menzionare quale libreria di autenticazione funziona meglio o non funziona per un determinato provider:

Una risposta utile mi dirà quale tecnologia supporta o non supporta l'accesso senza cookie e cosa supporta .js accesso gratuito

Google OAuth:
Apri ID
Facebook
LinkedIn
ADFS
???

UNA GRANDE risposta mi dirà che la tecnologia e la libreria corrispondente con cui funziona è

WIF funziona senza cookie o Javascript. Il protocollo è WS-Auth / Fed con server ADFS. ( ref )
WIF ??? con protocollo WS-Fed (+ SAML Token) con server ADFS.
LinkedIn ToolKit:
API di integrazione Facebook:
DotNetOpenAuth:

L'idea è che anche se una tecnologia sottostante può supportare l'autenticazione senza cookie e JS, la libreria corrispondente viene implementata in un modo che non lo supporta.

Contribuisci con qualsiasi conoscenza tu abbia in modo da poter triageare le informazioni in un bel riassunto a beneficio di tutti.

javascript authentication asp.net-mvc openid cookies

posta random65537 06.02.2011 - 16:34

fonte

3 risposte

Leggi altre domande sui tag javascript authentication asp.net-mvc openid cookies

I cookie del browser possono essere rubati "fisicamente"? Verifica che un utente del sito web sia protetto da firewall aziendale?

score 4 · Answer 1

ASP.NET pronto per la gestione della sessione può essere gestito senza problemi. In quanto tale, qualsiasi meccanismo che utilizza sessioni ASP.NET può funzionare senza cookie. Windows Identity Foundation accoppiato con ADFS v2 funzionerà senza problemi, ma ogni volta che si ritorna all'STS, sarà necessario eseguire nuovamente l'autenticazione per non ottenere SSO.

WIF funzionerà con MVC.

Non posso parlare con altre piattaforme in quanto la mia specialità è WIF / ADFS.

EDIT: JavaScript non è richiesto per nessuno dei due. Inoltre, WIF gestirà i token SAML, ma non gestisce il protocollo stesso. V1 supporta solo WS-Auth / Fed.

score 4 · Answer 2

Un approccio consiste nell'utilizzare "URL di funzionalità", in cui l'URL contiene un token segreto. La conoscenza del token è tutto ciò che è necessario per accedere alla risorsa.

Per ulteriori informazioni su questo approccio, leggi tasti web e /waterken.com/dev/Web/">web-calculus. (Una persona ha menzionato il rischio di token segreti che sfuggono attraverso l'intestazione Referer: vedere la carta dei tasti Web per un metodo per mitigare tale rischio.) Tuttavia, non aspettarsi che questo approccio sia una modifica semplice a un esistente applicazione.

score 2 · Answer 3

OpenID funziona senza JavaScript . Solo il selettore openid che viene comunemente utilizzato richiede JavaScript, ma torna indietro con garbo visualizzando semplicemente il campo di immissione openid.

Nella nostra applicazione non usiamo openID-select JavaScript, ma immagini statiche con collegamenti a Google, Yahoo e MyOpenId.

Non abbiamo scorciatoie per tutti gli altri fornitori di openid perché Google, Yahoo, MyOpenId sono quelli comunemente usati. Gli altri richiedono l'inserimento del nome utente prima di eseguire il reindirizzamento, il che è molto sconveniente e non fattibile senza JavaScript.

Inoltre abbiamo il campo di input standard openid.

Le domande sui cookie sono state discusse nei commenti sul post originale.