您将如何设计和实现OpenID组件?
(是"OpenId如何工作")
我意识到这个问题有点重复,是的,我已阅读规范和维基百科的文章.
在阅读了上面提到的材料后,我仍然无法全面了解过程中每个步骤的处理方式.也许缺少的是一个关于OpenID实现如何工作的良好工作流程图.
我正在考虑将OpenID合并到我的一个应用程序中以容纳B2B单点登录方案,我可能会使用DotNetOpenID而不是尝试自己实现它,但我仍然希望在获得之前更好地掌握细节开始.
任何人都可以推荐能够很好地解释它的书籍或网站吗?在这个网站上有一个涵盖基础知识的答案也没有什么坏处.
[编辑]
我将标题更改为更具体的实现,因为显然有很多地方可以获得一万英尺的视图.
假设我创建了一个像StackOverFlow这样的网站并决定使用OpenID.什么是阻止我或其他任何人对网络钓鱼进行网络钓鱼?也就是说,你怎么能真正知道任何网站都在使用OpenID而不是假装?你如何保护自己免受这种伤害?
对此进行扩展,假设有一个站点确实破坏了您的openID凭据,他们是否无法使用openID(全局密码破解)在其他所有站点上使用它?那么你的openID的安全性是否只会与最弱的网站/提供商一样强大?
当有人使用Open ID登录网站时,幕后会发生什么?
有人可以向我解释在合作伙伴开放ID网站的典型登录过程中发生的工作流程/步骤吗?(像这个网站)
即当我登录myopenid时,传递给这个网站的是什么?SO如何知道这是正确的登录?
我正在考虑将OpenID作为我的PHP应用程序的登录方法,但是有一件事阻止我继续:我如何保护OpenID消费者免受滥用?
滥用包括将其他服务器充满请求,使用我的应用程序作为代理,将大量下载作为URL传递或通过执行大量请求不必要地降低服务器速度.
我想我应该在做请求时实施限速,但我该怎么办呢?可能的攻击者可以使用其他代理或TOR来绕过IP检查.限制允许的提供程序会违反OpenID的原则吗?
我不希望我的用户是邪恶的,但我想知道在添加另一个可能的攻击向量之前我需要考虑哪些事情.
如果重要的是,我将使用lightopenid作为PHP应用程序的后端.
我想在我的网站上使用OpenId来允许用户使用Google,Twitter,Facebook进行注册......我已经看到很多库在PHP中实现,但我有些疑惑; 特别是我的网站在用户注册时请求一些信息:
1-)系统生成的id.当用户注册OpenId EVERY服务生成id时,它是如何生成的?2-)的用户名.那我需要询问用户呢?3-)密码.我不认为gogole给我一个帐户的密码,我需要问用户吗?4_)电子邮件我觉得它没有问题
另一件事:我注意到许多使用OpenID或类似网站的网站写"登录/登录"而不是"注册",使用OpenID我可以设置注册或只有一个登录,只要用户连接服务?