ユーザーがログインしている (ペルソナがない) ページを読み込むと、クライアントは Cookie を含むリクエストを送信します。Cookie はユーザーを認証し、サーバーは識別されたユーザーの機密情報を含むページを送信できます。
Observer API で Persona を使用する ページを送信するときに、loggedInUserを埋め込み、サーバーがログインしていると見なすユーザーを Persona に伝えます。
ペルソナが、 loggedInUserがサーバーが認識している人物であると認識しない場合、潜在的な問題が発生します。その場合、「onLogout」または「onLogin」コールバックを取得します。
ペルソナの意見を真剣に受け止めるつもりなら、安全に進める方法は次のとおりです。
- リクエストを送る
- 機密情報を含まないページを送信する
- ペルソナがloggedInUserに同意する場合は機密情報を送信し、そうでない場合はログインまたはログアウトします
これは、Web アプリケーションを複雑にするだけでなく、ページに 2 回の往復を必要とするため、非効率的です。
ペルソナのドキュメントからは、何をするつもりなのかが非常に不明確です。誰がログインしているかについてのペルソナの理論を無視するのが最も簡単です。
私はほぼ確実に何かが欠けていますが、上で説明したように、これは壊れているように見えます。