<div dir="ltr">isso é feito server side.<div><br></div><div>Oauth, SE NAO ME ENGANO, quando vc faz</div><div><br></div><div>1 - tenta logar no youtube </div><div><br></div><div>ele ve q vc nao tem cookie de sessao e manda pra <a href="http://accounts.google.com">accounts.google.com</a> e na url tem alguma indicação que vc veio do youtube (um redirect_url=xxx por exemplo).</div>

<div><br></div><div>2- vc loga no <a href="http://accounts.google.com">accounts.google.com</a></div><div><br></div><div>3- google the redireciona pra url xxx do youtube e recebe uma chave y</div><div><br></div><div>4- o youtube recebendo esse redirecionamento verifica server side se a chave y é valida. se sim ele inicia a sessao.</div>

<div><br></div><div>é server side pq vc tem um par de chaves criptograficas pra utilizar nesse handshake interno.</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">2013/8/6 Wallace Reis <span dir="ltr"><<a href="mailto:wallace@reis.me" target="_blank">wallace@reis.me</a>></span><br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">On Aug 05, 2013, at 10:45 PM, Eden Cardim <<a href="mailto:eden@insoli.de">eden@insoli.de</a>> wrote:<br>


> No caso do <a href="http://youtube.com" target="_blank">youtube.com</a> versus <a href="http://accounts.google.com" target="_blank">accounts.google.com</a>, que são domínios<br>
> diferentes mas pertencentes à mesma organização, a solução que eles<br>
> usam é vincular as contas através de um token dentro do cookie do<br>
> <a href="http://accounts.google.com" target="_blank">accounts.google.com</a> que é verificado contra um token armazenado num<br>
> backend compartilhando entre o <a href="http://youtube.com" target="_blank">youtube.com</a> e o <a href="http://accounts.google.com" target="_blank">accounts.google.com</a>.<br>
<br>
</div>Particularmente, gostaria de entender como realmente isto funciona - caso você tenha mais detalhes e possa compartilhar - pois não é claro para mim, uma vez que autenticado por exemplo no <a href="http://youtube.com" target="_blank">youtube.com</a> e faz acesso à outro domínio (<a href="http://gmail.com" target="_blank">gmail.com</a>, <a href="http://accounts.google.com" target="_blank">accounts.google.com</a>, etc), o cookie setado pelo <a href="http://youtube.com" target="_blank">youtube.com</a> contendo o token não estará disponível para consulta por outro domínio que não atenda a política de mesma origem (como no caso em que você citou sobre subdomínios herdando cookies).<br>


<br>
Ab,<br>
<br>
--<br>
Wallace Reis | wreis<br>
<a href="mailto:wallace@reis.me">wallace@reis.me</a><br>
<a href="http://wallace.reis.me" target="_blank">http://wallace.reis.me</a><br>
<div class="HOEnZb"><div class="h5">=begin disclaimer<br>
   Sao Paulo Perl Mongers: <a href="http://sao-paulo.pm.org/" target="_blank">http://sao-paulo.pm.org/</a><br>
 SaoPaulo-pm mailing list: <a href="mailto:SaoPaulo-pm@pm.org">SaoPaulo-pm@pm.org</a><br>
 L<<a href="http://mail.pm.org/mailman/listinfo/saopaulo-pm" target="_blank">http://mail.pm.org/mailman/listinfo/saopaulo-pm</a>><br>
=end disclaimer<br>
</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br>Tiago B. Peczenyj<br>Linux User #405772<br><br><a href="http://about.me/peczenyj" target="_blank">http://about.me/peczenyj</a>
</div>