如果没有令牌,OpenId如何维护授权?通过cookies?
答案 0 :(得分:1)
OpenID身份验证本身不以任何方式“维护授权”。 OpenID只是一个协议,允许 依赖方 让最终用户从池中证明他/她的身份(或者更确切地说,他/她控制一个标识符) OpenID提供商 。
这就是说,依赖方或最终的OpenID提供商本身可以使用所有常用设备和技巧为基础Web客户端“维护”,特别是cookie。 由于依赖方维护此类cookie /状态,即使有人退出(或可能已注销)依赖方的Web应用程序,他/她也可能不会在重新打开与该站点的会话时,使用OpenID身份验证对话框进行挑战 同样,由于OpenID提供程序维护的cookie /状态,可能会发现为了访问一个给定站点而进行了身份验证,可能会保存对另一个站点的身份验证。然而,后一种行为意味着“其他站点”很容易记住特定的OpenID提供者是应该使用的(我认为OpenID的目标之一是确保最终用户选择他/她每个站点的OpenID提供商。)
有关术语和协议的详细信息,请参阅OpenID Authentication 2.0 specification。