Jür*_*nig 12 openid federated-identity dotnetopenauth
我正在浏览dotNetOpenAuth示例(OpenIdRelyingPartyMVC和OpenIdProviderMvc)并提出一个问题以便更好地理解......
在依赖方应用程序的MembersArea中,我使用OpenID" http:// localhost:4864/user/bob3 "作为示例.我被重定向到提供者登录页面,然后我使用Bob 5的凭据.成功登录后,我被重定向回RelyingParty,其中写着"祝贺Bob3 ......".
这只是依赖方应用程序中的一个绑定错误,它接受提交给提供程序的OpenID,或者我在Bob3的安全上下文中使用Bob5的凭据进行身份验证,这在我看来是一个主要的安全问题,如我可以通过提供商处的一个工作用户帐户进行身份验证.
我认为您正在使用一个过时的分支,其中包含 3 年前发现的安全问题:
修复的差异: https://github.com/DotNetOpenAuth/DotNetOpenAuth/commit/cdd3e95f4eac8076ffd78641bf4cf61d4422572a
在我看来,“master”分支已经过时了,而“develop”分支才是我们应该使用的分支。
| 归档时间: |
|
| 查看次数: |
252 次 |
| 最近记录: |