为什么禁用第三方 Cookie 不会阻止身份验证站点、LiveID、OpenID 等

Question

为什么禁用第三方 Cookie 不会阻止身份验证站点、LiveID、OpenID 等？

尽量不要把这个政治化，但我需要解释我帮助那些可能回答这个问题的人的动机。

我一直在关注 Google/Verizon 的反网络中立权力争夺一段时间。对他们的声明不满意我决定是时候不通过被动地选择他们的数据挖掘工作来奖励谷歌了。

我的假设是切换搜索引擎和关闭第三方 Cookie 将是一个很好的步骤。

让我感到困惑的是 LiveID、OpenID 等身份验证站点仍然有效。有人可以解释为什么会这样吗？我会认为因为它们是不同的域，所以它不起作用。

Answer 1

对于 openID cookie 的使用取决于依赖方。一般来说，它是这样工作的：

1. 用户向 OpenID 依赖方提交 URL
2. 依赖方检查 URL 以获取 OpenID 信息
3. 依赖方检测到身份验证方，通知用户希望进行身份验证的一方。
4. 身份验证方检查用户是否通过身份验证（cookies：身份验证站点检查他们自己的 cookie）。

如果用户已登录，则依赖站点可能会在自己的域下发布自己的 cookie。

如果用户未登录：

1. 用户被转发到认证方的登录页面
2. 如果用户登录成功，身份验证方会设置他们需要的任何 cookie，并通知依赖方用户已通过身份验证。
3. 依赖方设置他们需要的任何 cookie 并允许用户进入。

请注意，其中没有任何 3rd 方 cookie。据我了解，LiveID 的工作方式大致相同，LiveID 身份验证服务器会通知 3rd 方站点用户已成功登录以及他们以谁的身份登录，这允许 3rd 方服务器与用户进行交互就像他们在本地登录一样。