Test de conformité pour les fournisseurs OpenID
https://stackoverflow.com/questions/815951
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Quels tests de conformité aux normes automatisés existe-t-il pour les fournisseurs OpenID?
J'apporte des modifications à la mise en œuvre d'un fournisseur OpenID pour le faire passer de la version 1.1 de la norme à version 2.0.
Avant de publier le code, je veux m'assurer qu'il est conforme aux spécifications de la norme. Pour tester la conformité aux normes Web, le W3C dispose d’outils de validation. Quels outils existent pour pointer un testeur automatisé chez mon fournisseur OpenID et obtenir un rapport de conformité au standard?
La solution
Au cas où quelqu'un tomberait sur ce fil, OpenID Connect dispose désormais d'une suite de tests de conformité officielle faisant partie du processus de certification:
https://openid.net/certification/testing/
Profitez!
Autres conseils
Vous pouvez consulter http://test-id.net/ , qui contient un ensemble de tests. dans .net.
À ma connaissance, il n’existe aucun test de conformité (du moins officiellement approuvé) - même pour 1.1. Certainement c'est quelque chose qui aurait une très grande valeur. Il en va de même pour oAuth - ce sont deux protocoles complexes et parfois même les spécifications ne couvrent pas tout.
La seule chose que vous puissiez faire pour le moment est une couverture complète des tests unitaires localement.
Il existe cette solution pour la version 1.1 uniquement: http://openidenabled.com/resources / openid-test / diagnose-server /
Nous ne l'avons jamais mis à niveau pour la version 2.0. Une ou deux fois par an, une personne nous dit: "Hé, nous devrions avoir de meilleurs outils de test", mais autant que je sache (et d’autres, à en juger par les réponses fournies ici), aucun de ces efforts n’a encore porté ses fruits.
Modifié pour ajouter: un autre projet associé est disponible à l'adresse http://code.google.com/. p / openid-test /
OSIS a les tests d'interopérabilité , teste les fonctionnalités pour les adresses IP et tests de fonctionnalité pour les RP
Toutefois, ils ne sont pas automatisés. Tous les participants se réunissent à l'une des conférences RSA et vérifient qu'ils travaillent tous les uns avec les autres.
À l'heure actuelle et à ma connaissance, aucun outil ne permet de signaler la conformité à la norme. Si vous voulez vraiment vous assurer que votre code est conforme à la version 2.0, vous devez engager des consultants indépendants pour examiner vos tests unitaires pour chaque fonction de openID 2.0. Ils devraient également faire leur propre test, bien sûr. Les consultants doivent être expérimentés dans le domaine de l'audit en général, tels que PCI DSS, etc. Ils ont également l'expérience nécessaire pour examiner les spécifications et tester vos bibliothèques et votre base de données d'applications.
