¿Qué sistema de autenticación (OpenID, Facebook, etc.) permite el funcionamiento sin Javascript o sin cookies?

8

Estoy buscando un sistema de autenticación que se base en terceros (ADFS, OpenID, SAML) pero no se basa en cookies o Javascript ... o al menos puede hacer que sean opcionales.

Mi intención es degradar y mantener con gracia el estado, no en una cookie, sino más bien mantener la información de la sesión en un URI protegido por HTTPS, que se repite para cada solicitud.

¿Qué sistemas de autenticación admiten esta navegación primitiva?

Aunque esta pregunta no trata directamente con mi servidor web (y no debería importar de todos modos), le agradecería que mencionara qué biblioteca de autenticación funciona mejor o no funciona para un proveedor determinado:

Una respuesta útil me dirá qué tecnología admite o no admite el inicio de sesión sin cookies, y qué admite el inicio de sesión .js libre

  • Google OAuth:

  • Abrir ID

  • Facebook

  • EnlazadoIn

  • ADFS

  • ???

Una GRAN respuesta me dirá que la tecnología y la biblioteca correspondiente con la que funciona es

  • WIF funciona sin cookies o Javascript. El protocolo es WS-Auth / Fed con ADFS Server. ( ref )

  • WIF ??? con WS-Fed (+ SAML Token) Protocol con ADFS Server.

  • Kit de herramientas de LinkedIn:

  • API de integración de Facebook:

  • DotNetOpenAuth:

La idea es que aunque una tecnología subyacente puede admitir la autenticación sin cookies y sin JS, la biblioteca correspondiente se implementa de una manera que no es compatible con esto.

Contribuya con cualquier conocimiento que tenga para que pueda clasificar la información en un buen resumen para el beneficio de todos.

    
pregunta random65537 06.02.2011 - 16:34
fuente

3 respuestas

4

ASP.NET fuera de la caja puede manejar el manejo de sesiones sin cookies. Como tal, cualquier mecanismo que utilice sesiones ASP.NET puede funcionar sin cookies. La Windows Identity Foundation junto con ADFS v2 funcionará sin cookies, pero cada vez que regrese al STS, deberá volver a autenticarse para no obtener el SSO.

WIF trabajará con MVC.

No puedo hablar con ninguna otra plataforma ya que mi especialidad es WIF / ADFS.

EDITAR: JavaScript no es necesario para ninguno de los dos. Además, WIF manejará tokens SAML, pero no maneja el protocolo en sí. V1 solo es compatible con WS-Auth / Fed.

    
respondido por el Steve 06.02.2011 - 18:10
fuente
4

Un enfoque es usar "URL de capacidad", donde la URL contiene un token secreto. El conocimiento del token es todo lo que se necesita para acceder al recurso.

Para obtener más información sobre este enfoque, lea sobre web-keys y web-calculus . (Una persona mencionó el riesgo de que se filtren tokens secretos a través del encabezado del Referer; consulte el documento de claves web para conocer un método para mitigar ese riesgo). Sin embargo, no espere que este enfoque sea una modificación fácil y sencilla de una aplicación.

    
respondido por el D.W. 07.02.2011 - 02:05
fuente
2

OpenID funciona sin JavaScript . Solo el selector de OpenID que se usa comúnmente requiere JavaScript, pero retrocede con gracia simplemente mostrando el campo de entrada de OpenID.

En nuestra aplicación no utilizamos el JavaScript de selección abierta, sino imágenes estáticas con enlaces a Google, Yahoo y MyOpenId.

No tenemos accesos directos para todos esos otros proveedores de OpenID porque Google, Yahoo, MyOpenId son los que se usan comúnmente. Los otros requieren que se ingrese el nombre de usuario antes de hacer la redirección, lo cual es muy inconveniente y no se puede hacer sin JavaScript.

Además, tenemos el campo de entrada openid estándar.

Las preguntas sobre cookies se analizaron en los comentarios de la publicación original.

    
respondido por el Hendrik Brummermann 02.04.2011 - 19:43
fuente

Lea otras preguntas en las etiquetas