假设amazon.com在其主页上设置了指向google.com的重定向标题。在访问amazon.com时,浏览器获取响应,从标头读取应该转到google.com的内容,然后继续向google.com发出另一个请求。我知道在第二次请求中,浏览器发送了用户之前在google.com上可能拥有的cookie,这是正确的吗?也就是说,如果用户以前登录过他在google.com上的帐户,当amazon.com重定向到那里时,他将显示已登录。
只是想确保我理解所有角落的情况下与外部各方在web应用程序的交互
"浏览器发送的cookie可能是用户以前使用google.com访问过的,对吗?"
是的。
除非cookie已经过期,否则当一个域/路径被命中时,该cookie将自动与请求头一起发送。
https://www.rfc-editor.org/rfc/rfc6265部分- 4.2
然而,谷歌的登录程序相当复杂,因为它涵盖了所有的域和系统。它可能会稍微重定向,通过"记住我"令牌重新建立用户登录。从他们的中心认证域设置一个新的饼干。他们不是最好的直接的例子,但你对它的总体理解是正确的。
基于表单的网站认证权威指南
这个社区wiki包含了一些关于不同身份验证技术的详细信息,包括"记住我"标记。