我有一个问题。我有两个Rails网站,站点A和站点B。 站点A是一个新闻网站,具有设备作为身份验证系统,并使用具有单点登录功能的Disqus评论内容。
网站B是另一个新闻网站,没有任何用户身份验证系统,并且使用Disqus对其内容进行评论,但未进行单次登录。
我想允许站点A的用户通过站点B上的Disqus使用SSO。 Disqus SSO使用此脚本
def get_disqus_sso(user)
# create a JSON packet of our data attributes
data = {
'id' => user['id'],
'username' => user['username'],
'email' => user['email']
#'avatar' => user['avatar'],
#'url' => user['url']
}.to_json
# encode the data to base64
message = Base64.encode64(data).gsub("\n", "")
# generate a timestamp for signing the message
timestamp = Time.now.to_i
# generate our hmac signature
sig = OpenSSL::HMAC.hexdigest('sha1', DISQUS_SECRET_KEY, '%s %s' % [message, timestamp])
# return a script tag to insert the sso message
return "<script type=\"text/javascript\">
var disqus_config = function() {
this.page.remote_auth_s3 = \"#{message} #{sig} #{timestamp}\";
this.page.api_key = \"#{DISQUS_PUBLIC_KEY}\";
}
</script>"
end
当然,在站点B上,我没有任何用户,请购买我想在站点A上创建一个私有API,该API返回登录用户"#{message} #{sig} #{timestamp}\"
是否可以创建一个API,该API在成功完成身份验证后使用Devise创建的会话cookie作为身份验证方法来返回某些内容?
答案 0 :(得分:0)
我认为使用jwt是可能的。流程如下。 (仅在子域中进行了测试)
user uses siteA(stores generated jwt token in a cookie) --> siteB uses the jwt token in cookie --> sends token to siteA for user data --> gets user data.
jwt认证example
注释:仅适用于子域,并且别忘了对cookie签名以防止篡改。