どの認証システム（OpenID、Facebookなど）で、JavaScriptやCookieを使用しない操作が可能ですか？

Question

サードパーティ（ADFS、OpenID、SAML）に依存しているが、CookieやJavascriptに依存していない認証システムを探しています。少なくとも、それらをオプションにすることができます。

私の目的は、Cookieではなく状態を適切に低下させて維持することですが、セッション情報をHTTPSで保護されたURIに保持し、リクエストごとに繰り返します。

どのようなauthenticationシステムがこのプリミティブブラウジングをサポートしていますか？

この質問は私のウェブサーバーを直接扱っていませんが（とにかく問題にはなりません）、どの認証ライブラリが特定のプロバイダーに対して最適に機能するか機能しないかについて言及していただければ幸いです。

役立つ回答から、Cookieを使用しないログインをサポートする技術とサポートしない技術、および.jsの無料サインインをサポートする技術がわかります。

Google OAuth：
オープンID
フェイスブック
LinkedIn
ADFS
???

素晴らしい答えは私に技術とそれに対応するライブラリが教えてくれます

WIFはCookieまたはJavaScriptなしで機能します。プロトコルはWS-Auth/ADFSサーバーとの連携です。（参照）
WIF ??? WS-Fed（+ SAML Token）プロトコルとADFSサーバー。
LinkedIn ToolKit：
Facebook統合API：
DotNetOpenAuth：

この考え方は、基盤となるテクノロジーがCookieフリーおよびJSフリー認証をサポートしている場合でも、対応するライブラリがこれをサポートしない方法で実装されているというものです。

すべての人の利益のために、情報をすてきな要約に切り分けられるように、あなたが持っているあらゆる知識を提供してください。

Steve · Answer

ASP.NETはそのままで、Cookieなしのセッション処理を処理できます。そのため、ASP.NETセッションを使用するメカニズムはCookieなしで機能します。 ADFS v2と組み合わせたWindows Identity FoundationはCookieなしで機能しますが、STSに戻るたびに、SSOを取得しないように再認証する必要があります。

WIFはMVCで動作します。

私の専門はWIF/ADFSなので、他のプラットフォームと話すことはできません。

編集：JavaScriptも必要ありません。また、WIFはSAMLトークンを処理しますが、プロトコル自体は処理しません。 V1はWS-Auth/Fedのみをサポートしています。

D.W. · Answer

1つの方法は、「機能URL」を使用することです。この場合、URLにはシークレットトークンが含まれます。リソースにアクセスするために必要なのは、トークンの知識だけです。

このアプローチの詳細については、 web-keys および web-calculus をご覧ください。（ある人が、Referer：ヘッダーを介してシークレットトークンが漏洩するリスクについて言及しました。そのリスクを軽減する方法については、Webキーのペーパーを参照してください。）ただし、このアプローチが既存の方法への簡単なドロップイン修正であるとは期待しないでください。応用。

Hendrik Brummermann · Answer

OpenIDはJavaScriptなしで機能します。一般的に使用されるopenid-selectorのみがJavaScriptを必要としますが、openid入力フィールドを表示するだけで適切にフォールバックします。

このアプリケーションでは、openid-select JavaScriptを使用していませんが、Google、Yahoo、MyOpenIdへのリンクを含む静的画像を使用しています。

Google、Yahoo、MyOpenIdが一般的に使用されるものであるため、他のすべてのopenidプロバイダーへのショートカットはありません。他のものはリダイレクトを行う前にユーザー名を入力する必要があり、これは非常に不便でJavaScriptなしでは実行できません。

さらに、標準のopenid入力フィールドがあります。

Cookieに関する質問は、元の投稿のコメントで説明されていました。