OpenId是如何安全的?
OpenId是如何安全的?
提问于 2013-03-23 21:29:09
我在另一个线程里找到了这个
步骤:
- 用户连接到启用OpenID的网站。
- 用户输入凭据信息。
- 一个帖子是用BASE64 (网站到提供者)制作的。
- 构建了一个答案(包含过期)。
- 网站将用户重定向到提供者以登录。
- 用户输入密码并提交.
- 验证已经完成。
- Login!
第6-8步是如何安全的?在我看来,客户端正在与提供者进行身份验证,并将结果报告给我们的服务器。
是什么阻止客户端伪造身份验证结果?
回答 1
Stack Overflow用户
回答已采纳
发布于 2013-03-24 10:44:59
主要是,身份验证结果是由提供程序以加密方式签名的。还有其他安全措施,以防止其他攻击。
引用OpenID 2.0规范,第11节。
当依赖方收到肯定的断言时,它必须在接受断言之前核实以下内容:
- "openid.return_to“的值与当前请求(第11.1节)的URL匹配。
- 发现的信息与断言(第11.2节)中的信息匹配
- "openid.response_nonce“(第11.3条)的值相同的断言尚未从该OP中被接受。
- 断言上的签名是有效的,所有需要签名的字段都被签名(第11.4节)
当然,客户端可以发送假身份验证结果,但不会通过验证。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/15592286
复制相关文章
相似问题
腾讯云开发者
