OpenIDの委任は、依拠当事者に対してどのように機能しますか?仕様は最近変更されましたか?
https://stackoverflow.com/questions/826014
-
05-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian質問
このシナリオを検討してください。 私は自分の識別子として使用するウェブサイトを持っていますが、こちら、stackoverflowやsourceforgeなどのRelying Party(RP)Webサイトにログインします。
賢明な動きのように見えました:
- OpenIDプロバイダーに縛られていません。yahooがサービスを提供しなくなる、または料金を請求し始める、または信頼できなくなった場合、プロバイダーを簡単に切り替えることができるためです
- サーバーにOpenIDプロバイダーをインストールして保守する経済的、管理的、セキュリティ上の負担はありません
質問
RPはどのように機能するはずですか?私の理解では、私が提供する識別子を使用し、認証には(プロバイダではなく)プロバイダ(yahoo)を使用する必要があるということです。あれは正しいですか?最近何かが変わりましたか? 明確にするために、私の身分証明書は
http://www.mysite.com/myPreferredUrl
ではなく
https://me.yahoo.com/myYahooId (私のウェブサイト"上記のウェブサイトに記載されている認証をリダイレクト")
サイドノート
今、物事が壊れているように見えるので、この質問をしています(彼らは数ヶ月前に大丈夫でした)。 stackoverflowでログインしようとすると、mysite.comのURLを書きます。正しく「リダイレクト」されています。ログインしているyahooウェブサイトに、「stackoverflowで続行」するかどうかを尋ねられます。「yes、it」「redirects」と言います。 stackoverflowサイトでは、「これはこれまで見たことのないOpenIDです」と表示されますが、yahoo IDが表示され、実際にロックアウトされています!
それはバグですか、何か不足していますか?
PS:私がこの質問をどのように書いているのか疑問に思っているなら、これは私が使用している多くのマシンの1つで、ブラウザがまだ有効なCookieを持っているからです...
編集:以下のAndrew Arnottの答えは、私の問題を解決する方法を提案しました(つまり、別のプロバイダーに切り替える)。しかし、私はまだいくつかの詳細に興味があります:委任について、OpenID 1.1から2.0に何が変わったのですかなぜ仕様では、プロバイダーに「分割」を許可することが選択されているのですか?代表団?説明するほど、回答が受け入れられる可能性が高くなります。
解決
アンドリューの答えは非常に正確だと思います。私が追加できる唯一のことは、v2.0仕様がどのように最終的にどのようになったかについて少しだけであり、プロバイダーが委任を使用しないことを選択できるようにすることです。動機の1つは、サーバー主導のID選択でした。ユーザーが「yahoo.com」を提供するだけです。 (またはYahooボタンをクリック)、選択したIDがid_res応答でサーバーから返されます。これにより、サーバーは、送信するID(Yahooが行うように)の選択を提供したり、各RPに一意の識別子を送信したり(Googleが行うように)することもできます。
また、必要なすべての情報が id_res 応答に含まれていることを意味します。つまり、RPは処理するために checkid 要求からの状態を保存する必要がありません。応答。実際、プロバイダは、RPが checkid 要求でまったく開始せずに、 id_res 応答をRPに直接送信できます。
v1.xプロバイダーは、委任が夜になると完全に気が付きませんでした。この設計により、プロバイダーは委任をサポートしないことさえ選択できなくなりましたが、UIの問題も発生しました。 「joe.coolprovider.com」を提供するかどうかを尋ねることになります。委任された" joesmith.org"を実際に使用していたときのID ID。
したがって、トレードオフがあります。委任はまだ可能であるため、委任が本当に必要なユーザー(これに直面して、これらの大規模なサイトのユーザーの数が少なくなります)は、必要な機能を提供するプロバイダーを選択できることを期待していました。 (換言すれば、市場がそれと戦うようにしましょう。)
他のヒント
YahooがOpenIDの委任をサポートしているとは思わない。つまり、StackOverflowや他のRPは独自の識別子で検出を実行し、委任認証要求を正しく設定できますが、Yahooは(おそらく仕様に反して)で指定された識別子ではなく独自の識別子のIDアサーションを送信することを選択する可能性がありますRP。
仕様はOpenID 1.1から2.0に変更されていません。仕様はYahoo!の動作を示唆または推奨するものではなく、Yahooだけがその理由について正式にコメントすることができます。
StackOverflow委任は引き続き機能します。ヤフーはあなたを壊したようだ。認証の委任先を変更することにより、委任者が購入したものを活用することをお勧めします。たとえば、www.myopenid.comは委任をサポートしています。それを指すように独自の識別子を変更すると、古い自分としてStackOverflowに戻ることができるはずです。 :)
