[решено] Кросс-доменная аутентификация вконтакта

Question

gaelpa @gaelpa

[решено] Кросс-доменная аутентификация вконтакта

0. Открываем «чистый» браузер или вычищаем все куки/етц — приватные данные
1. Заходим на vk.com и залогиниваемся
2. Открываем vkontakte.ru

И наблюдаем себя залогиненного.
Вопрос: Как они это сделали? (т.е. как vkontakte.ru понимает, что я тот же человек, что и на vk.com?)

Смотрел Firebug'ом и через Wireshark — Запросов с одного домена на другой не обнаружил.
Поиски в сурцах мне ничего до сих пор не дали.
Кука сессии ".vkontakte.ru" появляется после запроса к /login.php?...&hash=[многоцифр], поиски в js места формирования hash успехом пока не увенчались

Есть идеи?

Вопрос задан более трёх лет назад
4824 просмотра

1 комментарий

Подписаться 7 Оценить 1 комментарий

Решения вопроса 1

3 комментария

Пригласить эксперта

Ответы на вопрос 2

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Технология единого входа

+1 ещё

Сложный
KeyCloak проверка группы/роли пользователя во время обмена токенами между Clients?
- 1 подписчик
- 12 апр.
- 9 просмотров
0

ответов
Python

+1 ещё

Простой
Как проверить если сообщение содержит фразу в vk_api python?
- 1 подписчик
- 08 апр.
- 60 просмотров
2

ответа
Python

+1 ещё

Простой
Не находит файл FileNotFoundError: [Errno 2] No such file or directory: 'C'?
- 1 подписчик
- 06 апр.
- 70 просмотров
1

ответ
Node.js

+4 ещё

Простой
Как решить ошибку с canvas/npm?
- 1 подписчик
- 01 апр.
- 59 просмотров
0

ответов
Python

+1 ещё

Простой
Как починить ошибку messages.getByConversationMessageId с __call__() 1 переменная, но было дано 3?
- 1 подписчик
- 31 мар.
- 26 просмотров
0

ответов
ВКонтакте

+1 ещё

Простой
Возможна ли модерация нескольких пабликов ВК через единый интерфейс?
- 1 подписчик
- 30 мар.
- 55 просмотров
1

ответ
ВКонтакте

Средний
Как перерисовать интерфейс VK UI?
- 1 подписчик
- 28 мар.
- 25 просмотров
0

ответов
ASP.NET

+3 ещё

Средний
Как сделать редирект на refresh-token когда получаю AuthenticationFailed на asp.net core web api?
- 1 подписчик
- 26 мар.
- 78 просмотров
2

ответа
Node.js

+2 ещё

Простой
Что использовать для генерации картинок с текстом?
- 1 подписчик
- 22 мар.
- 71 просмотр
2

ответа
JavaScript

+3 ещё

Средний
Как получить превью видео вконтакте?
- 1 подписчик
- 20 мар.
- 95 просмотров
0

ответов
Показать ещё Загружается…

Программист SQL

САМО-Софт • Москва

До 220 000 ₽

Devops (Персона)

Сбер • Москва

от 230 000 ₽

Fullstack developer (JS, C++)

Сбер • Москва

от 300 000 ₽

Менеджер по продажам в онлайн-школу

17 апр. 2024, в 00:48

35000 руб./за проект

Сделать картинки для слов

17 апр. 2024, в 00:13

800 руб./за проект

Разработка backend python+django

17 апр. 2024, в 00:06

240000 руб./за проект

Полный план эксперимента, который я ставил.
1. очистка личной информации/вход в приватный режим браузера
2. открытие (и вход) на vk.com
3. открытие vkontakte.ru — я залогинен
4. закрытие вкладки с vk.com
5. чистка куков для vkontakte.ru (через фаербаг)
6. закрытие вкладки vkontakte.ru
7. запуск перехвата в Wireshark
8. открытие вкладки с урл vkontakte.ru
получаем редирект на свой аккаунт и соотв. оказываемся залогиненными.

Answer 1 · 2011-10-24 20:13:45

На самом деле при входе на ВКонтакте POST-запрос идет на https://login.vk.com/. Оно чего-то сохраняет в куки и делает редирект на http://vkontakte.ru/login.php с каким-то хешем в GET-параметрах. Вот так оно и работает.

Answer 2 · 2011-10-24 19:03:38

Вы вычистили не все приватные данные.

p.s. После удаления кук на vkontakte.ru/vk.com должно разлогинивать. Вы что-то делаете не так.

Answer 3 · 2011-10-25 15:27:20

Там на самом деле не POST, а GET

Шаги такие:
1. vkontakte.ru/feed, редиректит на login.vk.com/ с параметрами откуда, hash ip (интересно, это на случай отключенного referrer'а) и страницей куда, я так подозреваю
2. Login.vk.com редиректит на ту страницу, куда вы шли, т.е. на vkontakte.ru/feed
3. А оттуда уже куки сессии ставится, что вы залогинены.

Т.е. получается что все куки по сессии ставятся только на самом vkontakte.ru, что логично, для организации сессии. Это значит, что SSO перебрасывая идентифиакторы сессии между login.vk.com и сайтами, которые его используют по внутренним соеднениями между серверами, а GETами с редиректами мы просто забираем куки сессий

[решено] Кросс-доменная аутентификация вконтакта

Войдите, чтобы написать ответ

KeyCloak проверка группы/роли пользователя во время обмена токенами между Clients?

Как проверить если сообщение содержит фразу в vk_api python?

Не находит файл FileNotFoundError: [Errno 2] No such file or directory: 'C'?

Как решить ошибку с canvas/npm?

Как починить ошибку messages.getByConversationMessageId с call() 1 переменная, но было дано 3?

Возможна ли модерация нескольких пабликов ВК через единый интерфейс?

Как перерисовать интерфейс VK UI?

Как сделать редирект на refresh-token когда получаю AuthenticationFailed на asp.net core web api?

Что использовать для генерации картинок с текстом?

Как получить превью видео вконтакте?

Минуточку внимания

[решено] Кросс-доменная аутентификация вконтакта

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт