isso é feito server side. Oauth, SE NAO ME ENGANO, quando vc faz
1 - tenta logar no youtube ele ve q vc nao tem cookie de sessao e manda pra accounts.google.com e na url tem alguma indicação que vc veio do youtube (um redirect_url=xxx por exemplo). 2- vc loga no accounts.google.com 3- google the redireciona pra url xxx do youtube e recebe uma chave y 4- o youtube recebendo esse redirecionamento verifica server side se a chave y é valida. se sim ele inicia a sessao. é server side pq vc tem um par de chaves criptograficas pra utilizar nesse handshake interno. 2013/8/6 Wallace Reis <wall...@reis.me> > On Aug 05, 2013, at 10:45 PM, Eden Cardim <e...@insoli.de> wrote: > > No caso do youtube.com versus accounts.google.com, que são domínios > > diferentes mas pertencentes à mesma organização, a solução que eles > > usam é vincular as contas através de um token dentro do cookie do > > accounts.google.com que é verificado contra um token armazenado num > > backend compartilhando entre o youtube.com e o accounts.google.com. > > Particularmente, gostaria de entender como realmente isto funciona - caso > você tenha mais detalhes e possa compartilhar - pois não é claro para mim, > uma vez que autenticado por exemplo no youtube.com e faz acesso à outro > domínio (gmail.com, accounts.google.com, etc), o cookie setado pelo > youtube.com contendo o token não estará disponível para consulta por > outro domínio que não atenda a política de mesma origem (como no caso em > que você citou sobre subdomínios herdando cookies). > > Ab, > > -- > Wallace Reis | wreis > wall...@reis.me > http://wallace.reis.me > =begin disclaimer > Sao Paulo Perl Mongers: http://sao-paulo.pm.org/ > SaoPaulo-pm mailing list: SaoPaulo-pm@pm.org > L<http://mail.pm.org/mailman/listinfo/saopaulo-pm> > =end disclaimer > -- Tiago B. Peczenyj Linux User #405772 http://about.me/peczenyj
=begin disclaimer Sao Paulo Perl Mongers: http://sao-paulo.pm.org/ SaoPaulo-pm mailing list: SaoPaulo-pm@pm.org L<http://mail.pm.org/mailman/listinfo/saopaulo-pm> =end disclaimer