[решено] Кросс-доменная аутентификация вконтакта

Question

[gaelpa]

0. Открываем «чистый» браузер или вычищаем все куки/етц — приватные данные
1. Заходим на vk.com и залогиниваемся
2. Открываем vkontakte.ru

И наблюдаем себя залогиненного.
Вопрос: Как они это сделали? (т.е. как vkontakte.ru понимает, что я тот же человек, что и на vk.com?)

• Смотрел Firebug'ом и через Wireshark — Запросов с одного домена на другой не обнаружил.
• Поиски в сурцах мне ничего до сих пор не дали.
• Кука сессии ".vkontakte.ru" появляется после запроса к /login.php?...&hash=[многоцифр], поиски в js места формирования hash успехом пока не увенчались

Есть идеи?

Comments

[gaelpa]

Полный план эксперимента, который я ставил.
1. очистка личной информации/вход в приватный режим браузера
2. открытие (и вход) на vk.com
3. открытие vkontakte.ru — я залогинен
4. закрытие вкладки с vk.com
5. чистка куков для vkontakte.ru (через фаербаг)
6. закрытие вкладки vkontakte.ru
7. запуск перехвата в Wireshark
8. открытие вкладки с урл vkontakte.ru
получаем редирект на свой аккаунт и соотв. оказываемся залогиненными.

Answer 1

[ertaquo]

На самом деле при входе на ВКонтакте POST-запрос идет на https://login.vk.com/. Оно чего-то сохраняет в куки и делает редирект на http://vkontakte.ru/login.php с каким-то хешем в GET-параметрах. Вот так оно и работает.

Comments

[gaelpa]

Быть может у меня что-то с Wireshark'ом и Firebug'ом одновременно, однако я вижу только запрос на vkontakte.ru/login.php
Дампы могу привести, если желаете.

[ertaquo]

Ну, я смотрел в консоли Chrome. Почему не видно в Wireshark и Firebug — не знаю.

[gaelpa]

Действительно. По непонятным причинам Firebug не показал мне этот запрос, а фильтр http в wireshark не отображает https сессии.

Answer 2

[egorinsk]

Вы вычистили не все приватные данные.

p.s. После удаления кук на vkontakte.ru/vk.com должно разлогинивать. Вы что-то делаете не так.

Answer 3

[1nd1go]

Там на самом деле не POST, а GET

Шаги такие:
1. vkontakte.ru/feed, редиректит на login.vk.com/ с параметрами откуда, hash ip (интересно, это на случай отключенного referrer'а) и страницей куда, я так подозреваю
2. Login.vk.com редиректит на ту страницу, куда вы шли, т.е. на vkontakte.ru/feed
3. А оттуда уже куки сессии ставится, что вы залогинены.

Т.е. получается что все куки по сессии ставятся только на самом vkontakte.ru, что логично, для организации сессии. Это значит, что SSO перебрасывая идентифиакторы сессии между login.vk.com и сайтами, которые его используют по внутренним соеднениями между серверами, а GETами с редиректами мы просто забираем куки сессий