OpenID. Comment pouvez-vous vous déconnectez
https://stackoverflow.com/questions/1385082
-
21-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Sur un site, je l'ai mis en place la connexion avec OpenID (basé sur StackOverflow).
Mais je ne peux pas sembler dconnecter.
Sur mon hôte, je peux, mais lorsque l'dconnecter utilisateur tente de se connecter à nouveau (en particulier avec Google) l'authentification passe sans demander à l'utilisateur de saisir le nom et le mot de passe.
Comment puis-je indiquer au fournisseur OpenID qu'un utilisateur ne soit plus connecté au site?
La solution
authentifie les utilisateurs à OpenID votre site, quand puis démarre une session sur votre site. Vous détruire ou invalider séance de votre site séparément de la session de l'utilisateur avec leur fournisseur OpenID.
Visites de l'utilisateur joewidgets.com> Les journaux de l'utilisateur avec OpenID (avec une nouvelle ou existante session de fournisseur)> ... L'utilisateur clique sur Déconnexion> joewidgets.com détruit / Invalide la session.
Si l'utilisateur a leur fournisseur OpenID les garder connecté, et votre système automatiquement vérifie, il va créer une nouvelle session locale. (Un) heureusement, vous ne / ne peuvent pas se soucier de ce que l'utilisateur fait ou ne fait pas leur fournisseur, qui est un pro / con OpenID.
Il y a un argument à Lipstick social qui appelle " single Sign-Out », mais ne fournit pas OpenID actuellement cette fonction .
Autres conseils
Ceci est appelé simple Déconnexion ou Single Sign-Out, qui ne prend pas en charge OpenID. À mon avis, l'authentification unique sans est un grand déconnexion trou de sécurité. Se déconnecter un seul site ne signifie pas grand-chose si les autres peuvent simplement obtenir en quelques clics.
Pour l'instant, il faut se rappeler le fournisseur. Si c'est quelqu'un que nous connaissons, nous déclenchons le processus de fermeture de session pour eux. Pour Google, l'URL est,
https://www.google.com/accounts/Logout
Le flux est laid, mais la déconnexion il fait le travail.
C'est généralement quelque chose géré par le fournisseur OpenID - par exemple, si l'utilisateur reste connecté à son compte Google et a coché la case « se souvenir » l'autorisation OpenID pour votre site particulier, le fournisseur sera transparente les connecter et rediriger les arrière sans afficher l'invite de connexion.
"Il est une fonctionnalité non un bug"
Le fournisseur id peut choisir de garder l'utilisateur autorisé pour le fournisseur par le biais des cookies, et peut en outre choisir de ne pas rétablir rapidement l'utilisateur sur le partage de la même information qui a été partagé précédemment (avec une invite). Ainsi, lorsque l'utilisateur sur le site A, a demandé à être autorisé par le site B, et a obtenu redirigée, le site B a d'abord demandé à l'utilisateur de l'authentifier ou elle-même. Ensuite, le site B a demandé si elle devrait partager toute information (et parfois quelles informations) avec le site A. A ce stade, il vous demandera également habituellement si vous souhaitez partager automatiquement ces mêmes informations à l'avenir. Certains fournisseurs assumeront oui, certains non, certains ne demanderont pas. Site B redirige vers le site A et partage les informations, vous êtes maintenant connecté.
Si le site A fait une seconde redirection vers le site B pour demander une connexion, le site B pourrait 1) Vous avez déjà un cookie qui authentifie l'utilisateur actuel du site B. 2) Vous avez déjà un dossier de quelle information est acceptable de partager avec le site B. 3) partager automatiquement ces informations par le biais d'une redirection sans prendre le temps de demander à l'utilisateur du tout.
Cette fonction est centrée autour de la commodité.
