OpenID. Wie beurteilen Sie logout
https://stackoverflow.com/questions/1385082
-
21-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Auf einer Website, die ich die Login umgesetzt habe OpenID (basierend auf Stackoverflow).
Aber ich kann nicht zu logout zu sein scheinen.
Auf meinem Rechner kann ich abzumelden, aber wenn der Benutzer versucht, sich wieder anmelden (vor allem mit Google) der Authentifizierung durchläuft, ohne dass der Benutzer in Namen und das Kennwort eingeben.
Wie kann ich mit dem OpenID-Provider anzuzeigen, dass ein Benutzer nicht mehr in der Site angemeldet?
Lösung
OpenID authentifiziert Benutzer auf Ihrer Website, wenn dann eine Sitzung auf Ihrer Website gestartet. Sie zerstören oder ungültig macht Ihre Website-Sitzung getrennt aus der Sitzung des Benutzers mit ihren OpenID-Provider.
Benutzer Besuche joewidgets.com> Benutzer meldet sich mit OpenID (mit einem neuen oder bestehenden Provider Session)> ... Der Nutzer klickt logout> joewidgets.com zerstört / Ungültigmachungseinträge die Sitzung.
Wenn der Benutzer ihre OpenID-Provider hat halten sie angemeldet, und Ihr System automatisch überprüft, dann wird es eine neue lokale Sitzung erstellen. (Un) zum Glück, die Sie nicht / kann nicht darum kümmern, was der Benutzer tut oder nicht tut, ihre Provider, die eine pro / con von OpenID.
Es ist ein Argument unter Social Lippenstift das zu einem " Single Sign-Out“, aber OpenID unterstützt derzeit diese Funktion nicht zur Verfügung stellt .
Andere Tipps
Dies ist Einzel Logout oder Single Sign-Out genannt, die OpenID nicht unterstützt. Meiner Meinung nach, SSO ohne Abmeldung ist ein großes Sicherheitsloch. eine einzelne Stelle Abmelden bedeutet nicht viel, wenn andere nur mit wenigen Klicks erhalten.
Im Moment haben wir die Provider erinnern. Wenn es jemand, den wir kennen, lösen wir den Abmeldevorgang für sie. Für Google, die URL ist,
https://www.google.com/accounts/Logout
Der Logout-Flow ist hässlich, aber es macht den Job.
Das im Allgemeinen ist etwas von den OpenID-Provider behandelt - zum Beispiel, wenn der Benutzer bleibt in ihr Google-Konto angemeldet und geprüft um das Feld zu „erinnern“, die OpenID Genehmigung für Ihre Website, dann wird der Anbieter lügt sie transparent und Umleitung sie zurück, ohne die Login-Aufforderung angezeigt wird.
„Es ist ein Merkmal kein Fehler“
Die ID-Provider können wählen, den Benutzer für den Anbieter durch Cookies zugelassen zu halten, und können weiter wählen, nicht den Benutzer auffordern, erneut über die gleichen Informationen teilen, die vorher geteilt wurden (mit einer Eingabeaufforderung). Also, wenn der Benutzer auf der Website A, fragte durch Standort B autorisiert zu werden, und wurde umgeleitet, Standort B zunächst gefragt, für den Benutzer ihn oder sie selbst zu authentifizieren. Dann fragte Standort B, wenn es keine Informationen teilen sollten (und manchmal, welche Informationen) mit Site A. An diesem Punkt wird es auch üblicherweise fragen, ob Sie automatisch die gleichen Informationen in Zukunft teilen möchten. Einige Anbieter gehen davon ja, einige nicht, einige werden nicht fragen. Standort B leitet dann an Standort A und teilt die Informationen, sind Sie jetzt angemeldet.
Wenn Standort A macht eine zweite Umleitung zum Standort B ein Login, Standort B Macht zu beantragen 1) Sie haben bereits ein Cookie, das den aktuellen Benutzer von Standort B authentifiziert 2) bereits eine Aufzeichnung, welche Informationen haben, ist akzeptabel Aktie mit Standort B 3) automatisch teilen diese Informationen über eine Umleitung ohne Unterbrechung der Benutzer überhaupt aufzurufen.
Dies ist ein Feature Komfort zentriert um.
