OpenID. كيف تنص
https://stackoverflow.com/questions/1385082
-
21-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
على موقع ويب قمت بتطبيق تسجيل الدخول باستخدام OpenID (استنادًا إلى StackOverFlow).
لكن لا يبدو لي أن تسجيل الدخول.
في مضيفتي ، يمكنني تسجيل الدخول ، لكن عندما يحاول المستخدم تسجيل الدخول مرة أخرى (خاصة مع Google) ، تمر المصادقة دون مطالبة المستخدم بكتابة الاسم وكلمة المرور.
كيف يمكنني الإشارة إلى مزود OpenID إلى أنه لم يعد المستخدم تسجيل الدخول إلى الموقع؟
المحلول
يقوم OpenId بإصدار المستخدمين على موقعك ، عندما تبدأ جلسة على موقعك. أنت تدمر أو إبطال جلسة موقعك بشكل منفصل من جلسة المستخدم مع مزود OpenID الخاص بهم.
يقوم المستخدم بزيارات joewidgets.com> تسجيل الدخول إلى OpenID (مع جلسة مزود جديدة أو موجودة)> ... ينقر المستخدم على تسجيل الدخول> JOEWIDGETS.com يدمر/يبطل الجلسة.
إذا كان لدى المستخدم مزود OpenID الخاص بهم ، فسيحافظهم على تسجيل الدخول ، ونظامك تلقائيًا الشيكات ، ثم سوف تنشئ جلسة محلية جديدة. (UN) لحسن الحظ ، أنت لا/لا يمكنك القلق بشأن ما يفعله المستخدم أو لا يفعله هُم مزود ، وهو مؤيد/يخدع OpenID.
هناك حجة في أحمر الشفاه الاجتماعي الذي يدعو إلى "تسجيل واحد" ، ولكن OpenID لا يوفر هذه الوظيفة حاليًا.
نصائح أخرى
وهذا ما يسمى تسجيل الخروج الفردي أو تسجيل الدخول الفردي ، والذي لا يدعمه OpenID. في رأيي ، SSO بدون تسجيل الدخول هو حفرة أمان كبيرة. تسجيل الخروج من موقع واحد لا يعني الكثير إذا كان بإمكان الآخرين الدخول ببضع نقرات.
في الوقت الحالي ، علينا أن نتذكر المزود. إذا كان هناك شخص نعرفه ، فإننا نؤدي إلى عملية تسجيل الدخول لهم. بالنسبة إلى Google ، عنوان URL هو ،
https://www.google.com/accounts/logout
تدفق تسجيل الدخول قبيح لكنه يقوم بالمهمة.
هذا عمومًا شيء يتم التعامل معه بواسطة موفر OpenID - على سبيل المثال ، إذا ظل المستخدم مسجلاً إلى حساب Google الخاص به وفحص المربع "لتذكر" التفويض المفتوح لموقعك الخاص ، فسيقوم المزود بتسجيلها بشفافية وإعادة توجيهها بدونها بدون عرض موجه تسجيل الدخول.
"إنها ميزة وليس خطأ"
يمكن لمزود المعرف اختيار إبقاء المستخدم مصرحًا به للمزود من خلال ملفات تعريف الارتباط ، ويمكنه أيضًا اختيار عدم مطالبة المستخدم بمشاركة نفس المعلومات التي تم مشاركتها مسبقًا (مع موجه). لذلك عندما يُطلب من المستخدم في الموقع أ ، أن يكون مصرحًا به من خلال الموقع B ، وتم إعادة توجيهه ، طلب الموقع B أولاً للمستخدم مصادقته على نفسه. ثم سأل الموقع ب عما إذا كان يجب أن يشارك أي معلومات (وأحيانًا المعلومات) مع الموقع A. في هذه المرحلة ، سيسأل عادةً ما إذا كنت تريد مشاركة هذه المعلومات نفسها تلقائيًا في المستقبل. سوف يفترض بعض مقدمي الخدمات نعم ، بعضهم لا ، البعض لن يسأل. يعيد الموقع B ثم إعادة توجيه إلى الموقع A ومشاركة المعلومات ، وتسجيل الدخول الآن.
إذا كان الموقع A يقوم بإعادة توجيه ثانٍ إلى الموقع B لطلب تسجيل الدخول ، فقد يكون الموقع B 1) بالفعل ملف تعريف ارتباط يدقق المستخدم الحالي للموقع B. 2) بالفعل سجل للمعلومات المقبولة لمشاركتها مع الموقع B. 3) مشاركة هذه المعلومات تلقائيًا من خلال إعادة توجيه دون توقف للمستخدم على الإطلاق.
هذه ميزة تركز على الراحة.
