jam*_*mie 19 openid cookies login
我有一个问题,关于如何/最好的方法是使用OpenId并提供保持登录的能力.
如果我看看Stackoverflow例如我已经使用谷歌登录,如果我关闭浏览器并返回它仍然让我登录.
但是,我没有登录Google,但无论如何我已从可以访问您的Google帐户的授权服务列表中删除了 stackoverflow.我天真地期望stackoverflow会提示我再次登录,但事实并非如此.
所以我的问题是,关于OpenId的最佳实践是什么,并且跨会话记住经过身份验证的用户?
And*_*ott 11
OpenID仍然很新,一些依赖方正在尝试新的和不同的方式来实现OpenID.OpenID基金会主办的依赖方有一个正在进行中的最佳实践文档.特别是,它们在上一节中解决了cookie和会话长度的问题.绝对有趣的想法是使用持久的claim_id cookie而不是持久的会话cookie,以使用户的生活更轻松 - 他们只需要退出他们的OP并关闭浏览器.
就个人而言,我发现你在StackOverflow上描述的行为非常自然.如果OpenID不在图片中,并且您使用持久性cookie(一种非常常见的情况)登录了两台不同计算机上的用户名/密码网站,并且您在一台计算机上更改了密码,那么如果其他的话,我不会感到惊讶计算机仍然让我登录.你可以称之为安全漏洞,但这仍然是正常的做法.事实上,Gmail最近在收件箱屏幕底部添加了一个显示屏,告诉您登录的其他位置并让您有机会使其会话Cookie无效.
我建议任何RP都可以采用类似的方法,无论身份验证方法如何.这可能会减轻您的安全问题.
| 归档时间: |
|
| 查看次数: |
3061 次 |
| 最近记录: |