¿Cómo gestiona un navegador sesiones seguras y almacena claves de sesión?

Navega tus respuestas
3

Estoy interesado en cómo un navegador gestiona sesiones seguras. Según tengo entendido, este es el escenario al iniciar sesión en una cuenta de Google:

1) El navegador (B) y el servidor de Google (S) realizan un protocolo de enlace para crear una sesión segura cifrando el tráfico http mediante TLS o SSL.

2) El usuario (U) ingresa los detalles de inicio de sesión

3) U está autenticada

4) U abre una pestaña a youtube y tiene la opción de iniciar sesión con su cuenta de Google.

5) U usa su cuenta de Google, pero no se requiere que ingrese ningún detalle ya que su navegador todavía tiene una sesión segura con su cuenta de Google.

Mi pregunta es, ¿cómo se realizan los pasos 4-5 con respecto al navegador, cómo la página web como youtube eleva las contraseñas y los detalles de la sesión para enviarlos al servidor de youtube? ¿Cómo almacena y gestiona el navegador esto?

Estoy familiarizado con el funcionamiento de protocolos como sso y la identidad federada, pero aquí estoy interesado en escribir una página web / aplicación capaz de recopilar esta información desde el navegador.

    
pregunta user1658296 14.10.2014 - 13:52
fuente

2 respuestas

1

Los detalles de la sesión segura por sitio web se almacenan en las cookies locales establecidas por una respuesta y se envían al servidor en futuras solicitudes.

Para el ejemplo de dominio cruzado, como describió con youtube (y un comentario descrito), el método estándar es OAUTH o OAUTH2. Es el mismo mecanismo que puede permitir que otros sitios web accedan a los detalles de su facebook o twitter.

Todo esto se manifiesta como una serie de solicitudes con parámetros y respuestas que redirigen a otros objetivos.

OAUTH tiene algunos flujos "implícitos" que pueden permitir el inicio de sesión automático en sitios web sin que el usuario lo apruebe explícitamente.

Puede moverse de manera interactiva a través de algunas solicitudes de ejemplo aquí: enlace

    
respondido por el Gabe 09.12.2014 - 01:33
fuente
-1

Fundamental para cualquier cosa, el uso de un token / coookie es la razón del mecanismo de autenticación que funciona. Cómo esta cookie es verificada por un tercero es la salsa mágica. Es sorprendentemente gracioso que todos intenten romper el modelo cliente / servidor de la Web 1.0 para incluir la intervención de terceros.

    
respondido por el messi 09.12.2014 - 02:46
fuente

Lea otras preguntas en las etiquetas

¿Cómo firmar y cifrar el correo usando openssl? Asegurar que una solicitud HTTP venga de mi programa