Janrain's PHP OpenID库的PHP实现与LightOpenID之间有什么区别。
一个人比另一个人更安全吗?
根据Google's best practices page:
正确的OpenID实现必须:
检查加密签名
检查随机数
亚迪斯发现
我猜测Janrain的图书馆确实满足了所有这些要求,因为谷歌建议使用图书馆,但是LightOpenID实现了1& 2。
答案 0 :(得分:5)
LightOpenID使用无状态版本的协议,使其比Janrain的库简单得多。
无状态版本将验证(与加密,随机数等相关的任何内容)委托给提供者,因此LightOpenID不会自行检查。但是,它确实遵循该问题的规范,因此它不是安全问题。