Faire un fournisseur OpenID avec SSL
https://stackoverflow.com/questions/1937203
-
20-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
donc je suis en train de faire actuellement un fournisseur OpenID. Je l'ai essayé d'utiliser deux serveurs OpenID basé sur Java packages- de Crowd Atlassian et WSO2 Identity Server. Maintenant, dans ma mise en œuvre, la sécurité est un must, ce qui signifie en utilisant SSL et HTTPS ayant OpenIDs base. Maintenant, pour les WSO2 et la foule un grand nombre de sites ne fonctionne tout simplement pas avec les OpenIDs fournis. Sur les 20 sites testés, 8 a échoué avec la foule, et 10 a échoué avec WSO2. Ce taux d'échec élevé est pas vraiment acceptable. Pratiquement tous les sites qui a un problème prétend qu'ils ne peuvent pas trouver un point final OpenID.
Quand je les OpenIDs sans SSL (si HTTP OpenIDs base) tout à coup les sites étaient beaucoup plus conformes, avec seulement deux d'entre eux ne. J'utilise un certificat de AusCERT, de sorte que le problème ne devrait pas être due à des certificats auto-signés.
Au début, je pensais que cela était juste une question d'être là un grand nombre de points de réception qui n'a tout simplement pas accepté HTTPS OpenIDs base. J'ai essayé la connexion dans les mêmes sites que j'échouait avec une base HTTPS OpenID de Verisign bien, et cela a fonctionné. Regardant de plus près les deux WSO2 et la foule je découvre que ni complètement conformait en particulier OpenID 2.0 mémoire descriptif, aucun d'entre eux fournissent un lien dans la tête à un document XRDS pour Yadis découverte. Considérant que mon problème est que les sites ne peuvent pas découvrir un point final à l'URL OpenID je donne, il semble pertinent, sauf que lorsque je ne pas utiliser SSL la découverte HTML est suffisante.
Quelqu'un at-il aperçu que là où mon problème est vraiment? Le document manquant XRDS semble que ce devrait être pertinent, mais il pourrait juste être un faux. Baring que, si quelqu'un sait une bonne alternative à foule ou WSO2 qui est bien documenté, fonctionne bien pour les spécifications, et est (relativement) facile à configurer, il serait bon de savoir!
La solution
Une chose à regarder est que certains fournisseurs de certificats SSL ne sont pas signés par les autorités profondes qui sont considérés comme faisant autorité par quelques points de réception. Assurez-vous d'obtenir votre certificat d'une toute confiance que rps.
Si .NET est une option pour votre fournisseur, consultez le libre et open source DotNetOpenAuth bibliothèque, que vous pouvez vous héberger et est utilisé par certains grands tels que MySpace et et href="http://www.dotnetopenauth.net/case-studies/" rel="nofollow noreferrer"> autres . Il est la mise en œuvre d'OpenID 2.0 est terminée, il prend en charge le gouvernement américain ICAM Profil OpenID 2.0, et a été utilisé pour de nombreuses interopérabilité, de sécurité et des tests de conformité, et il fonctionne aussi bien avec OpenID 1.1 et 2.0 points de réception afin que vous seriez très susceptibles d'avoir bonne interopérabilité avec de nombreux / tous les points de réception. Il a un tas de dispose d'une sécurité supplémentaire que vous pouvez simplement activer (comme nécessitant HTTPS comme vous avez dit est une exigence).
(divulgation complète. J'ai écrit DotNetOpenAuth)
