Выход из системы OpenID.Мне просто нужна аутентификация, а не вход в систему OpenID Provider

Question

Начал с этого вопроса: OpenID.Как выйти из системы

ХОРОШО.Таким образом, OpenID не имеет единого выхода из системы.
Я вижу возможности использования, но есть некоторые ситуации, которые меня беспокоят:

Единый вход отлично подходит для мобильных устройств и вашего персонального компьютера.
Вы входите в систему один раз, и, вероятно, вам больше никогда не придется выходить из системы (просто аутентифицируясь на новых сайтах по ходу работы).

Но если я на общедоступном компьютере (в аэропорту или даже на рабочем компьютере), это проблема.

Когда я захожу на сайт с помощью openID, я вхожу в два разных места, и это неочевидно.Я захожу на веб-сайт (например, stackoverflow, используя учетную запись Gmail), но в то же время я только что вошел в Gmail (поставщик OpenID).

Когда я выхожу из stackoverflow, я все еще подключен к Gmail (поставщик OpenID).

Когда я аутентифицируюсь с помощью Gmail, я не хочу входить в Gmail, я просто хочу пройти аутентификацию.

Обходной путь заключается в том, чтобы поток выхода из системы одновременно выходил из Gmail, но, как отмечалось в последнем сообщении, если я выхожу из stackoverflow, мне не обязательно нужно выходить из Gmail, если я дома.

Итак, вопрос действительно в следующем:
Есть ли способ пройти аутентификацию у этих провайдеров OpenID без входа в систему.

Потому что даже такие сайты, как переполнение стека, не выводят вас из системы, когда вы выходите из системы OpenID-провайдера, с которым вы прошли аутентификацию.Если у вас есть учетная запись Gmail, я могу входить и выходить весь день, не влияя на вход в систему stackoverflow.

Answer 1

Люди, видимо, не видят вопроса в вашем вопросе, поэтому я повторяю его здесь просто для ясности (и со знаком вопроса).

Есть ли способ пройти аутентификацию у этих провайдеров OpenID без входа в систему?

Я считаю, что ответ на этот вопрос — «нет» (как уточняет Бладдарт).

Answer 2

Если протокол его не поддерживает (а он не поддерживает), то вы ничего не можете здесь сделать, кроме как удалить все файлы cookie, как только вы закончите, что приведет к очистке файлов cookie, которые регистрируют вас к вашему провайдеру, и тех, которые авторизуйтесь в сервисах.

Кроме того, провайдер OpenID не обязан предоставлять вам постоянный файл cookie или даже файл cookie сеанса, который позволяет вам войти в вашу учетную запись OpenID, он может один раз аутентифицировать вас для себя, а затем отправить токен аутентификации дальше.Если вы беспокоитесь о том, что вам придется войти в Gmail при использовании OpenID, выберите другого поставщика OpenID.

Но как это вопрос?

Answer 3

Короткий ответ — да, на практике, если выбрать разумного провайдера OpenID.

Развернутый ответ: это вопрос о вашем провайдере OpenID, а не о самом OpenID.

OpenID только обрабатывает аутентификацию.Поддержка сеансов (и связанные с ней концепции, такие как вход или выход) выходят за рамки спецификации OpenID.

Ваш провайдер OpenID может сохранить для вас сеанс (вероятно, с помощью файла cookie браузера).Ни один разумный провайдер не будет этого делать, если вы не укажете («запомнить меня при входе в stackoverflow.com»).

Потребитель OpenID (например, StackOverflow) также может сохранить для вас сеанс.С этим ничего не поделаешь, но это справедливо для любой схемы аутентификации, будь то сторонней или прямой.

Поскольку сторонние аспекты OpenID хорошо спроектированы, на практике легко избежать входа в систему, выбрав подходящего поставщика или, что еще лучше, используя HTML-страницу в качестве заявленной личности, которая делегирует провайдеру, которого вы можете измените, если вы решите переключиться.

Answer 4

OpenID не указывает, должен ли провайдер создавать для себя сеанс входа в систему, но почти все они это делают.Таким образом, нет возможности просто аутентифицировать RP, не выходя из сеанса в OP.

Если вы действительно хотите пройти аутентификацию, не выходя из сеанса, вы можете сделать это с помощью других протоколов.Почти каждый ОП предоставляет собственный протокол для входа в систему с использованием имени пользователя и пароля.Например, у Google есть ClientAuth, а у AOL — DirectLogin.Это так называемый антишаблон пароля.Это создает некоторые проблемы с конфиденциальностью, поскольку вы собираете пароль Google на своем сайте.Я ни в коем случае не рекомендую это делать.