Поддомены

у Шлоснейгла вроде было что то по кросдоменной авторизации…

чо за хуй?)

у, я смотрю Костян хорошо подкован. Много книг прочитал.

Эх, я так и не осилил даже одной(

Джордж Шлосснейгл. Единая регистрация.

При входе в систему пользователь должен пройти такие этапы:

1. Клиент выполняет запрос к серверу www.example.foo
2. Сценарий на www.example.foo обнаруживает, что пользователь не вошел в систему (у пользователя отсутствует достоверный куки-файл сеанса для www.example.foo), и перенаправляет его на страницу входа, расположенную на сайте www.singlesignon.foo. В параметрах перенаправления содержится скрытая переменная, содержимое которой представляет собой зашифрованный запрос на авторизацию, подтверждающий тот факт, что пользовательский запрос поступил с www.example.foo.
3. Клиент запрашивает входную страницу на сайте www.singlesignon.foo.
4. На сайте www.singlesignon.foo пользователю предоставляется форма для ввода имени и пароля.
5. Клиент отправляет серверу аутентификации форму с запросом на авторизацию.
6. Сервер аутентификации обрабатывает запрос и перенаправляет пользователя обратно на сайт www.example.foo предоставляя зашифрованный ответ авторизации. Сервер авторизации также отправляет клиенту куки-файл сеанса.
7. Клиентский браузер выполняет последний запрос, возвращая ответ аутентификации сайту www.example.foo.
8. Сценарий www.example.foo проверяет достоверность зашифрованного ответа аутентификации, отправленного сервером аутентификации, и посылает пользователю куки-файл сеанса.

При последующих попытках пользователя зайти на какой-либо сайт, использующий тот же сервер аутентификации, запросы идут по кратчайшему пути. Попытка входа с другого сайта начинается также за исключением того, что, когда клиент отправляет запрос серверу www.singlesignon.foo, теперь он предоставляет серверу куки-файл, который был получен ранее на этапе 6. Ниже описана последовательность входа в систему:

1. Клиент выполняет запрос к www.example.foo.
2. Сценарий на www.example.foo обнаруживает, что пользователь не вошел в систему (у пользователя отсутствует достоверный куки-файл сеанса для www.example.foo), и перенаправляет его на страницу входа, расположенную на сайте www.singlesignon.foo. В параметрах перенаправления содержится скрытая переменная, содержимое которой представляет собой зашифрованный запрос на авторизацию, подтверждающий тот факт, что пользовательский запрос поступил с www.example.foo.
3. Клиент запрашивает входную страницу на сайте www.singlesignon.foo.
4. Сервер аутентификации проверяет пользовательский куки-файл singlesignon-сеанса, отправляет ответ аутентификации и перенаправляет пользователя обратно на  www.example.foo.
5. Клиентский браузер выполняет последний запрос, возвращая ответ аутентификации сайту www.example.foo.
6. Сценарий www.example.foo проверяет достоверность зашифрованного ответа аутентификации, отправленного сервером аутентификации, и посылает пользователю куки-файл сеанса.

Несмотря на то, что данный процесс может показаться весьма сложным, он проходит прозрачно для пользователя. Когда пользователь снова входит на один из связанных сайтов, сервер аутентификации немедленно возвращает клиенту подтверждение авторизации  и пользователь перенаправляется на исходный сайт с уже установленными параметрами доступа.