Prueba de cumplimiento para proveedores de OpenID
https://stackoverflow.com/questions/815951
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
¿Qué pruebas automatizadas de conformidad de estándares existen para los proveedores de OpenID?
Estoy realizando cambios en la implementación de un proveedor de OpenID , para traerlo de la versión 1.1 del estándar a versión 2.0.
Antes de liberar el código, quiero estar seguro de que cumple con las especificaciones de la norma. Para probar el cumplimiento de los estándares web, el W3C tiene herramientas de validación. ¿Qué herramientas existen para que pueda apuntar con un comprobador automático a mi proveedor de OpenID y obtener un informe del cumplimiento de la norma?
Solución
En caso de que alguien se encuentre con este hilo, OpenID Connect ahora tiene un conjunto de pruebas de conformidad oficial que forma parte del proceso de certificación:
https://openid.net/certification/testing/
¡Disfruta!
Otros consejos
Puede consultar http://test-id.net/ que tiene un conjunto de pruebas escritas en .net.
No hay pruebas de conformidad (al menos aprobadas oficialmente) que yo sepa, incluso para 1.1. Ciertamente es algo que sería de muy alto valor. Lo mismo ocurre con oAuth: ambos son protocolos complejos y, a veces, las especificaciones no cubren todo.
Probablemente, lo único que puede hacer en este momento es una cobertura local exhaustiva de las pruebas unitarias.
Esto está solo para la versión 1.1: http://openidenabled.com/resources / openid-test / diagnostose-server /
Nunca lo actualizamos a 2.0. Una o dos veces al año, alguien viene y dice "hey, deberíamos tener mejores herramientas de prueba, " pero hasta donde yo (y otros, a juzgar por las respuestas aquí) sabemos, ninguno de esos esfuerzos ha dado frutos todavía.
Editado para agregar: otro proyecto relacionado se encuentra en http://code.google.com/ p / openid-test /
OSIS tiene pruebas de interoperabilidad , pruebas de características para IP y pruebas de características para los RP
Sin embargo, estos no están automatizados, todos se reúnen en una de las conferencias de RSA y comprueban que todos trabajan entre sí.
A partir de ahora, y que yo sepa, no hay herramientas que puedan informar el cumplimiento del estándar. Si realmente quiere asegurarse de que su código sea compatible con 2.0, debe contratar a algunos consultores independientes para que revisen sus pruebas unitarias para cada función de openID 2.0. También deben hacer sus propias pruebas, por supuesto. Los consultores deben tener experiencia en auditorías en general, como PCI DSS, etc. Tienen experiencia para repasar las especificaciones y probar las bibliotecas y la base de datos de su aplicación.
