it-swarm-es.com

¿Qué sistema de autenticación (OpenID, Facebook, etc.) permite el funcionamiento sin Javascript y / o sin cookies?

Estoy buscando un sistema de autenticación que se base en terceros (ADFS, OpenID, SAML) pero que no dependa de cookies o Javascript ... o al menos pueda hacerlos opcionales.

Mi intención es degradar y mantener con gracia el estado no en una cookie, sino mantener la información de la sesión en un URI protegido por HTTPS, que se repite para cada solicitud.

¿Qué sistemas de autenticación admiten esta navegación primitiva?

Aunque esta pregunta no trata directamente con mi servidor web (y no debería importar de todos modos), le agradecería que mencionara qué biblioteca de autenticación funciona mejor o no para un proveedor determinado:

Una respuesta útil me dirá qué tecnología admite o no el inicio de sesión sin cookies y qué admite .js iniciar sesión gratis

  • Google OAuth:

  • Abrir ID

  • Facebook

  • LinkedIn

  • ADFS

  • ???

Una GRAN respuesta me dirá la tecnología y la biblioteca correspondiente con la que trabaja es

  • WIF funciona sin cookies ni Javascript. El protocolo es WS-Auth/Fed con ADFS Server. ( ref )

  • WIF ??? con protocolo WS-Fed (+ SAML Token) con servidor ADFS.

  • Kit de herramientas de LinkedIn:

  • API de integración de Facebook:

  • DotNetOpenAuth:

La idea es que, aunque una tecnología subyacente puede admitir la autenticación sin cookies y sin JS, la biblioteca correspondiente se implementa de una manera que no lo admite.

Por favor, contribuya con cualquier conocimiento que tenga para que pueda clasificar la información en un resumen agradable para el beneficio de todos.

8

ASP.NET listo para usar puede manejar el manejo de sesiones sin cookies. Como tal, cualquier mecanismo que utilice sesiones ASP.NET puede funcionar sin cookies. Windows Identity Foundation junto con ADFS v2 funcionará sin cookies, pero cada vez que regrese al STS, deberá volver a autenticarse para no obtener SSO.

WIF funcionará con MVC.

No puedo hablar con ninguna otra plataforma ya que mi especialidad es WIF/ADFS.

EDITAR: JavaScript tampoco es necesario. Además, WIF manejará los tokens SAML, pero no maneja el protocolo en sí. V1 solo admite WS-Auth/Fed.

4
Steve

Un enfoque consiste en utilizar "URL de capacidad", donde la URL contiene un token secreto. El conocimiento del token es todo lo que se necesita para acceder al recurso.

Para obtener más información sobre este enfoque, lea sobre web-keys y web-calculus . (Una persona mencionó el riesgo de que los tokens secretos se filtren a través del encabezado Referer:; consulte el documento de claves web para conocer un método para mitigar ese riesgo). Sin embargo, no espere que este enfoque sea una modificación fácil y directa de un solicitud.

4
D.W.

OpenID funciona sin JavaScript. Solo openid-selector que se usa comúnmente requiere JavaScript pero retrocede elegantemente simplemente mostrando el campo de entrada openid.

En nuestra aplicación no usamos JavaScript openid-select, sino imágenes estáticas con enlaces a Google, Yahoo y MyOpenId.

No tenemos atajos para todos esos otros proveedores de openid porque Google, Yahoo, MyOpenId son los que se usan comúnmente. Los otros requieren ingresar el nombre de usuario antes de realizar la redirección, lo cual es muy inconveniente y no se puede hacer sin JavaScript.

Además, tenemos el campo de entrada estándar openid.

Las preguntas sobre las cookies se discutieron en los comentarios de la publicación original.

2