簡體 English 中英

OpenId如何安全？

[英]How is OpenId secure?

原文 2013-03-23 21:29:09 3 1 authentication/ openid

我在另一個SO 線程中找到了這個：

腳步：

用戶連接到啟用了OpenID的網站。
用戶輸入憑據信息。
使用BASE64（提供者的網站）進行POST
建立答案（包含到期時間）
該網站將用戶重定向到提供者進行登錄。
用戶輸入密碼並提交。
驗證完成。
登錄！

如何保護步驟6-8？ 從我的角度來看，客戶端正在與提供者進行身份驗證，並將結果報告給我們的服務器。

是什么阻止客戶端偽造身份驗證結果？

1 個解決方案

首先，認證結果由提供者加密簽名。 還有其他安全措施可以防止其他攻擊。

引用OpenID 2.0規范，第11節：

當依賴方收到肯定的斷言時，它必須在接受斷言之前驗證以下內容：

“ openid.return_to”的值與當前請求的URL匹配（第11.1節）

發現的信息與斷言中的信息匹配（第11.2節）

尚未從此OP接受具有與“ openid.response_nonce”相同的值的斷言（第11.3節）

斷言上的簽名有效，並且所有需要簽名的字段都已簽名（第11.4節）

客戶端當然可以發送偽造的身份驗證結果，但不會通過驗證。

安全的OpenID用戶身份驗證

[英]Secure OpenID user authentication

具有OpenID Connect的安全API-OP的RP信任

[英]Secure API with OpenID Connect - RP trust of OP

如何將OpenID集成到GlassFish中？

[英]How to integrate OpenID into GlassFish?

openID有多安全？

[英]How safe is openID?

使用 OpenID 時保持登錄狀態的安全策略

[英]Secure strategy for staying logged-in when using OpenID

如何在OpenID上構建用戶個人資料

[英]How to build a user profile on OpenID

OpenID身份驗證如何工作？

[英]How does OpenID authentication work?

如何使用OpenID而不詢問用戶的OpenID URL？

[英]How to use OpenID without asking user for his OpenID URL?

在ASP.NET中進行安全單點登錄，以通過OpenID從其他（php）網站進行身份驗證

[英]Secure Single Sign On in ASP.NET for the authentication from anthother (php) website via OpenID

OpenId認證后如何登錄用戶

[英]How to log in user after OpenId authentication

暫無

暫無

聲明:本站的技術帖子網頁，遵循CC BY-SA 4.0協議，如果您需要轉載，請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 安全的OpenID用戶身份驗證具有OpenID Connect的安全API-OP的RP信任如何將OpenID集成到GlassFish中？ openID有多安全？使用 OpenID 時保持登錄狀態的安全策略如何在OpenID上構建用戶個人資料 OpenID身份驗證如何工作？如何使用OpenID而不詢問用戶的OpenID URL？在ASP.NET中進行安全單點登錄，以通過OpenID從其他（php）網站進行身份驗證 OpenId認證后如何登錄用戶

相關標簽

粵ICP備18138465號 © 2020-2024 STACKOOM.COM