Verwenden von OpenID mit einem vorhandenen Website-Login-System

Question

Ich habe kürzlich die OpenID-Endpunkte von Google und Yahoo in meinem Authentifizierungssystem auf meiner Website implementiert, sodass Benutzer vermeiden können, ein Konto auf meiner Website zu erstellen. Ziemlich häufige Praxis, richtig?

Ich habe jedoch eine bestimmte Frage, aber zuerst ein wenig Hintergrundinformationen.

Wenn ich durch die dreibeinige Authentifizierung bekomme, die ich Attributaustausch verwendet habe, um den Namen und die E-Mail-Adresse des Benutzers zu erhalten. Derzeit speicherte ich ihr OpenID (eine lange Saite, die so aussieht COM / A / 2Z7LPLQSNI_DGTAW (... ein Bündel alphanumerischer) in einem speziellen Feld in der Tabelle des Benutzers.

Lassen Sie uns sagen, dass der Tisch der Benutzer so aussieht.

generasacodicetagpre.

Wenn sich ein Benutzer mit einem nativen Konto anmeldet, werden die E-Mail und das Kennwort zur Authentifizierung (DUH) verwendet.

Wenn ein Benutzer Google oder Yahoo OpenID verwendet, wird das OpenID (Schlüsselfeld) zur Authentifizierung verwendet.

okay, jetzt, jetzt, da alle Hintergrundinformationen aus dem Weg sind Kann jemand das dritte Bein einer OpenID-Transaktion einspof, oder kann ich darauf vertrauen, wann immer ich Sie bekomme@gmail.com von dem Attribut-Exchange-Teil einer OpenID-Transaktion mit Google, dass es echt und nicht gefälscht ist?

Answer 1

Ein solches absichtliches Brechen des Protokolls führt zu großen Kopfschmerzen auf lange Sicht.In Betracht ziehen Fälle, in denen ein Benutzer mit einem benutzerdefinierten OpenID-Server anmeldet, bietet jedoch eine @ gmail.com-E-Mail-Adresse.

Die einzigen Informationen garantiert, die nach einem OpenID-Authentifizierungsaustausch absolut konsistent und zuverlässig sind, ist die Identitäts-URL.