В основном все поисковые роботы ходят по локейшен (в обратном случае ваш сайт не будет индексироваться). Google к примеру босает это дело по 10 редиректа. Следовательно если вы хотите чтобы боты индексировали ваш сайт, то вам надо определять их и не делать редиректов за кукой. Я это подробнее описывал в предыдущем посте.
Похоже вы запутались. Яндекс использует серию редиректов чтобы подцепить авторизацию. Посетите проект их проект moikrug.ru. Вы увидете что броузер сначала пойдет на pass.yadnex.ru (сервер авторизации), чтобы проверить есть ли кука.
Читайте внимательнее. На сайтах авторизация не обязательна. Нету четко разделенных зон. Авторизовавшись, пользователь получает доступ к дополнительному функционалу.
Мы ничего не изобретали. У нас есть специфические особенности и нету задачи передачи профиля пользователя, а также желания гонять груду XML. Есть задача организовать только SSO и только. Брать для этого такую через чур усложненную (и не особо удачную по моему мнению) махину, как SAML я не вижу смысла.
Вы не правы, читайте внимательнее. Я писал выше, что хранилище сессий общее для всех проектов (используем memcached). При нажатии на кнопку «выход» мы удаляем сессию и связь ID пользователя к ID сессии, следовательно на site2 остается кука, которая при первом посещении будет удалена.
В голову пока приходить вообще отказаться от куки guest, что приведет к тому что пустой JS с сайта sso.com будет вставляться всегда. Меня лично это нисколько не пугает.
Ну во первых, JS-ом у вас не получится поменять дизайн формы во фрейме — политика безопасности броузеров вам не даст.
Во вторых подгружать CSS тоже не вариант — может отличаться верстка (у нас она сильно отличается).
А вот послать форму в фрейм можно только с помощью JS (причем ajax тут не причем). Следовательно, если отключен JS, залогинится не получится.
Лишний GET — не такая большая проблема мне кажется. Хотя, действительно при определенных обстоятельствах iframe подойдет и можно его избежать.
Форма находится в iframe и постит сразу на сервер авторизации. Там мы авторизуем. Понятно. Вместо одного POST и двух GET мы делаем один POST и один GET — это хорошо. Но сможем ли мы из iframe перезагрузить страницу? Допустим сможем (google так вроде делает). Есть одна проблема — уникальный дизайн каждого проекта.
В голову пока приходить вообще отказаться от куки guest, что приведет к тому что пустой JS с сайта sso.com будет вставляться всегда. Меня лично это нисколько не пугает.
Во вторых подгружать CSS тоже не вариант — может отличаться верстка (у нас она сильно отличается).
А вот послать форму в фрейм можно только с помощью JS (причем ajax тут не причем). Следовательно, если отключен JS, залогинится не получится.
Лишний GET — не такая большая проблема мне кажется. Хотя, действительно при определенных обстоятельствах iframe подойдет и можно его избежать.
Предлагаю продолжить дискуссию там.