OpenID Logout. Ich brauche Authentifizierung einfach nicht zu OpenID Provider anmelden
https://stackoverflow.com/questions/1386139
-
21-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Mit dieser Frage nun: OpenID. Wie wollen Sie logout
OK. So OpenID hat keine einzige Abmeldung.
Ich kann den Nutzen sehen, aber es gibt einige Situationen, die mir Sorgen machen:
Single Signon auf ist ideal für mobile Geräte und Ihren PC.
Sie melden sich auf einmal und wahrscheinlich nie wieder abzumelden müssen (nur mit neuen Websites zu authentifizieren, wie Sie gehen).
Aber wenn ich auf einem öffentlichen Computer am (Flughafen oder sogar ein Arbeitscomputer) ist dies ein Problem.
Wenn ich in eine Website anmelden OpenID Ich Unterzeichnung in zwei verschiedenen Orten, und das ist nicht offensichtlich. Ich Anmelde auf einer Website (Stackoverflow zum Beispiel Google Mail-Konto verwendet wird), aber zur gleichen Zeit, die ich habe gerade in gmail (OpenID Provider) unterzeichnet.
Wenn ich mich abmelde von Stackoverflow ich versengt bin immer noch in gmail (OpenID Provider).
Wenn ich mit gmail authentifizieren Ich möchte nicht auf Login in gmail Ich möchte nur zu authentisieren.
Ein Hack, um dies ist der Abmeldefluss haben uns zur gleichen Zeit aus gmail einzuloggen, aber wie auf dem letzten Beitrag erwähnt, wenn ich auslogge Stackoverflow Ich will nicht unbedingt zu Abmeldung von gmail, wenn ich bin zu Hause.
Die Frage ist wirklich:
Gibt es eine Möglichkeit mit diesen OpenID-Provider ohne Protokollierung zu authentifizieren auf.
Da auch Websites wie Stack-Überlauf, sie Sie nicht sich abzumelden, wenn Sie von der OpenID-Provider abzumelden Sie mit authentifiziert. Wenn Sie Google Mail-Konto haben, kann ich mich einloggen und den ganzen Tag ohne Auswirkungen, wenn Stackoverflow angemeldet ist.
Lösung
Menschen offenbar nicht die Frage in Ihrer Frage zu sehen, so dass ich es wiederhole hier nur für Klarheit (und mit einem Fragezeichen)
Gibt es eine Möglichkeit mit diesen OpenID-Provider ohne Protokollierung zur Authentifizierung auf?
Ich glaube, dass die Antwort auf diese Frage „nein“ ist (wie blowdart Erarbeitet).
Andere Tipps
Wenn das Protokoll nicht unterstützt (und es nicht), dann gibt es nichts, was Sie hier tun können, abgesehen von löschen alle Cookies, sobald Sie fertig sind, die das Cookie löschen würde, die Sie in Ihren Provider anmeldet und diejenigen, die Sie in Dienste anmelden.
Als Nebenwirkung ein OpenID-Provider nicht Sie hat zu schaffen, mit einem persistenten Cookie oder sogar ein Session-Cookie, das Sie in Ihrem OpenID-Konto angemeldet hält, könnte es Sie authentifizieren einmal für sich selbst, dann die Authentifizierung ab Token gesendet. Wenn Sie über besorgt in Google Mail angemeldet werden, wenn Sie OpenID nutzen dann einen anderen OpenID-Provider wählen.
Aber wie ist dies eine Frage?
Die kurze Antwort ist ja, in der Praxis durch einen angemessenen OpenID-Provider entschieden hat.
Die lange Antwort ist, dass dies eine Frage zu Ihren OpenID-Provider, OpenID selbst nicht.
OpenID nur Griffe Authentifizierung. Session-Unterstützung (und die damit verbundene Konzepte wie die Protokollierung in oder out) ist außerhalb der OpenID spec.
Ihr OpenID-Provider kann eine Sitzung für Sie halten (wahrscheinlich mit einem Browser-Cookie). Jeder vernünftige Anbieter wird dies nicht tun, wenn Sie angeben ( „mich erinnern, wenn die Anmeldung in stackoverflow.com“).
Der OpenID Verbraucher (wie Stackoverflow) kann eine Sitzung für Sie als auch halten. Es gibt nichts, was man dagegen tun kann, aber das gilt für jedes Authentifizierungsschema, ob 3rd-Party oder direkt.
Da die 3rd-Party-Aspekte von OpenID gut gestaltet sind, ist es leicht zu vermeiden Protokollierung in in der Praxis durch einen vernünftigen Anbieter der Wahl, oder besser noch, durch eine HTML-Seite als behauptete Identität verwenden, die Delegierten zu einem Anbieter die Sie ändern können, wenn Sie Schalter entscheiden.
OpenID ist nicht festgelegt, ob Provider eine Login-Sitzung für sich selbst schaffen sollten, aber fast alle von ihnen tun. So gibt es keine Möglichkeit, nur beglaubigen RP ohne eine Sitzung in OP zu verlassen.
Wenn Sie wirklich zu authentifizieren wollen, ohne eine Sitzung zu verlassen, können Sie es mit anderen Protokollen tun. Fast jeder OP bietet ein proprietäres Protokoll zum Login mit Benutzername / Passwort. Zum Beispiel hat Google ClientAuth und AOL hat directLogin. Dies wird so Passwort anti-Muster genannt. Es schafft einige Bedenken hinsichtlich der Privatsphäre, weil Sie Google-Passwort auf Ihrer Website sammeln. Ich bin nicht in irgendeiner Weise zu empfehlen.
