关于OpenId的一些问题
我正在研究OpenId,看看它对我的网站是否是一个很好的解决方案,但有些事情让我迷惑了。如果我错了,请纠正我。
“我的理解是,OpenID的工作方式是,用户将凭据发送到授权服务器,受信任的服务器将判断该用户是否合法。”
现在,让我们以Stackoverflow为例。我看到了所有这些雅虎和谷歌的图标,我猜Stackoverflow说这些是我信任的提供商,如果他们信任你,我也信任你。
现在,还有一个按钮,上面写着OpenID和我也可以在那里注册。这是一个独立的授权服务器吗?谁是它的提供者?
如果我想将openID嵌入到我的web项目中。我应该使用哪个授权服务器?每当我搜索OpenId时,我都会把这个OAuth看作一个选项;它是一个授权服务器吗?
回答 1
Stack Overflow用户
发布于 2012-04-10 09:22:14
OpenID是一个标准,而不是一个身份验证提供者。
对于authentication.
- The用户在提供方站点上输入其登录凭据的
- ,OpenID URI提供了足够的信息以转到身份验证提供方。这一步依赖于用户知道他们的提供商的授权页面是什么样子。
- 回复,再加上referrer标头,意味着有足够的信息来安全地验证用户。
OAuth是对OpenID的补充。
[谷歌有一个相当好的流量解释:https://developers.google.com/accounts/docs/OpenID ]
许多网站为特定的身份验证提供者提供了选项,只是为了简化这一过程。OpenID URI不是统一的,因此您不能(例如)从电子邮件地址判断URI是什么。
一些认证提供商(如Google)让你很难找出你的OpenID到底是什么,大概是为了让登录对用户更透明(并随后在依赖方的网站上添加品牌)。
如果你知道你的OpenID URI是什么,你应该能够在任何兼容的站点上输入它,而不需要经过“选择一个已知的提供者”步骤。然而,该选项是否可用则由作者自行决定。
[至于身份验证提供商的“可信性”,有一些潜在的问题:http://en.wikipedia.org/wiki/OpenID#Security ]
[ OpenID基金会有官方答案:http://openid.net/get-an-openid/ ]
https://stackoverflow.com/questions/10078174
复制相似问题
腾讯云开发者
