Google/Yahoo的回应！在OpenID过程中更改？

Question

是否可以从Google/Yahoo返回标题！身份验证OpenID请求？我的意思是有人使用him@gmail.com对Google进行身份验证，然后将him@gmail.com更改为me@gmail.com以响应Google并通过我的帐户登录到网站吗？

Answer 1

是的，身份验证有效载荷从提供商到依赖方都通过用户的浏览器，使用户有机会检查甚至更改转发到依赖聚会网站的内容。

然而 有效载荷已签署，因此消息的签名部分的任何更改都将导致依赖方检测到篡改已发生，并应拒绝该消息。

因此，实际上，不，您无法使用此方法劫持他人的帐户，因为签名验证过程是OpenID的内置部分。

Answer 2

不。如果可能的话，那将击败这一点。

您可以直接与身份验证提供商进行对话，并与用户进行对话。用户无法更改网站的内容，因为Auth提供商没有通过用户进入网站。