web服务的OpenId实现-需要提示/帮助
web服务的OpenId实现-需要提示/帮助
提问于 2009-07-31 17:50:52
假设我正在尝试实现依赖于使用web服务的n层网站的OpenId。如果有些步骤看起来很奇怪,请告诉我。
1)我希望用户在文本框中输入他们的OpenId url。例如:http://vidalsasoon.myopenid.com
2)然后用户单击submit,输入的网址将使用OpenId应用程序接口发送到我的web服务。有了服务器上的OpenId应用程序接口,我就可以构建一个适当的OpenId请求。
3)用户收到应该进行身份验证的Url。
4)用户被重定向到他们的提供商,登录,被重定向回我的网站。
这里的混淆:现在步骤2-4发生在用户和提供者之间。在这些步骤中,不涉及我的web服务。
我希望用户在这一点上将他们想要的用户名和OpenId发送回web服务。问题是,我如何知道用户/客户端没有篡改它们?
回答 1
Stack Overflow用户
发布于 2009-07-31 18:02:35
有两种方法可以验证用户是否经过了正确的身份验证
- 在您自己和OpenID提供商之间建立共享密钥。当用户登录到提供者时,它与他们共享秘密,后者又与您共享秘密,然后您可以根据原始的shared secret.
- Through OpenIDs check_authentication规范进行验证。一旦用户向您传递了信息,就进行此调用,以便进行验证。Link to Spec
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/1213944
复制相关文章
相似问题
腾讯云开发者
