我正在浏览janrain python-openid,我在从OP到RP的通信中看到以下参数 -
1)openid.assoc_handle:{HMAC-SHA1}{50054f83}{NXBefg==}
算法名称后的两个参数是什么?这是关键吗?
2)
openid.sig:eQwD7bcwAyfC9HrwQzEXFIGsKq8=
openid.signed:assoc_handle,claimed_id,identity,mode,ns,ns.sreg,op_endpoint,response_nonce,return_to,signed
以上两个参数是OP返回的签名,以及签名的字段。 RP如何解密签名,我没有看到共享密钥?
3)或者,如果在请求期间共享密钥,那么为什么攻击者无法获取密钥并更改响应?
谢谢, 穆尔塔扎