باستخدام OpenID مع نظام تسجيل الدخول إلى موقع الويب الحالي
https://stackoverflow.com/questions/3237333
-
14-09-2020 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
قمت مؤخرا بتطبيق نقاط نهاية Google و Yahoo's OpenID في نظام المصادقة على موقعي حتى يتمكن المستخدمون من تجنب إنشاء حساب على موقعي. ممارسة شائعة جدا، أليس كذلك؟
لدي سؤال محدد رغم ذلك، ولكن أولا معلومات أساسية صغيرة.
عندما أحصل على المصادقة الثلاثة أرجل، استخدمت تبادل السمة للحصول على اسم المستخدم وعنوان البريد الإلكتروني. حاليا، أنا أقوم بتخزين OpenID (سلسلة طويلة تبدو وكأنها: https://me.yahoo. COM / A / 2Z7LPLPLQSNI_DGTAW (... حفنة من الأبجدية الرقمية) في حقل خاص في جدول المستخدمين.
دعنا نقول الجدول المستخدمين لي مثل هذا.
giveacodicetagpre.عندما يقوم المستخدم بتسجيل الدخول بحساب الأصلي، يتم استخدام البريد الإلكتروني وكلمة المرور للمصادقة (DUH).
عندما يستخدم المستخدم OpenID Google أو Yahoo، فسيتم استخدام OpenID (حقل مفتاح) للمصادقة.
حسنا، الآن أن جميع معلومات الخلفية خارج الطريق ... هل سيكون آمنا إذا نسيت تخزين OpenID نفسه واستخدام البريد الإلكتروني الذي سبق لي العودة من تبادل السمة لمصادقة المستخدم؟ هل يمكن لشخص ما محاكاة الساق الثالثة من معاملة OpenID أو هل يمكنني الوثوق في أنه كلما أحصل على you@gmail.com من جزء تبادل السمة من معاملة OpenID مع Google أنها أصلية وليس خداعا؟
المحلول
مثل هذا الكسر المتعمد للبروتوكول سيؤديك إلى أن تصاعدي كبير في المدى الطويل.على سبيل المثال، فكر في الحالات التي يقوم فيها المستخدم بتسجيل الدخول باستخدام خادم OpenID المدمج مخصصا، ولكنه يوفر عنوان بريد إلكتروني @ gmail.com.
المعلومات الوحيدة المضمونة لتكون ثابتة للغاية وموثوقة بعد تبادل المصادقة OpenID هو عنوان URL للهوية.
