異なるサブドメインに異なる Web アプリケーションを持つ会社の Web サイト用のシングル サインオン サービスを作成しています。サブドメインを SSO サービス「サーバー」(sso.domain.com) で呼び出し、サブドメインを SSO コンシューマー「クライアント」(client.domain.com) で呼び出してみましょう。
クライアントにログインするには、クライアントのフォームがクライアントのページに送信されます。このページでは、Header('Location: sso.domain.com/login.php'); 一部のデータを添付して使用します。
サーバーで読み取ることができる HTTP_REFERER は、常に一貫して正しいものになりますか? このようにして、ログイン要求の送信元とリダイレクト先のコールバックが同じかどうかを確認できます。