Здравствуйте, koandrew, Вы писали:

K>Здравствуйте, Аноним, Вы писали:

А>>Но GET запрос можно перехватить. Можно от этого как-то защититься?

K>А толку? Он одноразовый и может быть насколько угодно сильно привязан к данному экземпляру браузера (вплоть до challenge-response системы). Это всё детали реализации и уровень параноидальности определяется исходя из конкретных условий...

правильно я понимаю подход?

Клиент заходит на одно их приложений, получает куку, идентифицирующую его браузер, и редеректится на систему аутентификации. После аутентификации, он по гету передает полученный от системы аутентификации токен и в качестве подтверждения того, что он есть тот кто есть, прикладывает куку полученную в самом начале?