OpenID Logout. Ho solo bisogno di autenticazione non accedere per OpenID Provider
https://stackoverflow.com/questions/1386139
-
21-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
introduttiva a questa domanda: OpenID. Come logout
OK. Quindi OpenID non ha singolo logout.
Posso vedere gli usi, ma ci sono alcune situazioni che mi preoccupano:
profilo di accesso unico su è grande per i dispositivi mobili e personal computer.
È segno su una sola volta e probabilmente mai bisogno di uscire di nuovo (solo l'autenticazione con i nuovi siti, come si va).
Ma se io sono su un computer pubblico (aeroporto, o anche un computer di lavoro) questo è un problema.
Quando firmo in un sito web usando OpenID sto firmando in due posti diversi e che non è evidente. Firmo-su un sito web (StackOverflow ad esempio utilizzando l'account Gmail), ma allo stesso tempo ho appena firmato in Gmail (OpenID Provider).
Quando firmo fuori StackOverflow sto ancora bruciacchiato in Gmail (OpenID Provider).
Quando ho autentico con gmail non voglio fare il login in Gmail Voglio solo per l'autenticazione.
Un hack intorno a questo è di avere me registrare il flusso di disconnessione da Gmail, allo stesso tempo, ma come indicato sul l'ultimo post, se accedo fuori StackOverflow io non necessariamente vogliono il logout di gmail se sono a casa.
Quindi la domanda è davvero:
C'è un modo per l'autenticazione con questi provider OpenID senza eseguire l'accesso.
Perché anche siti come overflow dello stack, non si effettua il logout quando logout del provider OpenID si autenticato con. Se si dispone di account gmail posso entrare e fuori tutto il giorno senza influire se StackOverflow è connesso.
Soluzione
La gente a quanto pare non riescono a vedere la questione nella sua interrogazione, quindi mi ripeto qui solo per chiarezza (e con un punto interrogativo)
C'è un modo per l'autenticazione con questi provider OpenID senza eseguire l'accesso?
Credo che la risposta a questa domanda è "no" (come blowdart elaborati).
Altri suggerimenti
Se il protocollo non lo supporta (e non lo fa), allora non c'è niente che puoi fare qui, oltre a eliminare tutti i cookie, una volta che hai finito, che sarebbe cancellare il cookie cui si accede al vostro provider e quelli che si accede a servizi.
Per inciso un provider OpenID non deve fornire un cookie persistente, o anche un cookie di sessione che vi mantiene connessi al proprio account OpenID, potrebbe autenticarsi una volta per se stessa, poi inviato il token di autenticazione in poi. Se siete preoccupati per essere collegati in Gmail quando si utilizza OpenID quindi scegliere un altro provider OpenID.
Ma come è questa una domanda?
La risposta è sì, in pratica, dalla scelta di un fornitore OpenID ragionevole.
La risposta lunga è che questa è una domanda sul tuo provider OpenID, non OpenID per sé.
OpenID solo gestisce l'autenticazione. sessione di supporto (e concetti correlati come registrazione o indietro) è al di fuori della specifica OpenID.
Il provider OpenID può tenere una sessione per voi (probabilmente con un cookie del browser). Qualsiasi fornitore ragionevole non farà questo a meno che l'opzione ( "ricordati di me quando si accede stackoverflow.com").
Il consumatore OpenID (come StackOverflow) può tenere una sessione per voi pure. Non c'è niente che si può fare su questo, ma questo è vero per qualsiasi schema di autenticazione, se 3rd party o diretta.
A causa degli aspetti 3rd-party di OpenID sono ben progettati, è facile evitare il login in pratica, scegliendo un fornitore ragionevole, o meglio ancora, utilizzando una pagina HTML come dell'identità dichiarata, che delega ad un fornitore che si può cambiare, se si decide di passare.
OpenID non specifica se provider dovrebbe creare una sessione di login per se stessi, ma quasi tutti lo fanno. Quindi non v'è alcuna opzione per autenticare solo RP senza lasciare una seduta in OP.
Se si vuole veramente per autenticare senza lasciare una sessione, è possibile farlo con altri protocolli. Quasi ogni OP fornisce un protocollo proprietario per effettuare il login con nome utente / password. Ad esempio, Google ha ClientAuth e AOL ha directLogin. Questo è il cosiddetto password di anti-modello. Si crea alcuni problemi di privacy perché si raccolgono password di Google sul tuo sito. Non sto raccomandando che in ogni caso.
