我正在尝试通过OpenId让用户使用他们的Steam帐户登录。我能够向Steam OpenId发出请求并登录该用户。
我担心的是,我目前无法确认OpenId提供商实际上是否有效。如果我无法验证提供商,黑客可以对我的网站做出成功的回复以便登录。我认为可能有办法确认提供商的网址,但我不知道这样做是不是很热。
那么我如何确保提供商是Steam而不是第三方?
(我正在使用passport-openid库)
答案 0 :(得分:0)
您可以从他们在OpenID URL登录表单中为您提供的页面中提取用户的OpenID提供程序。这是您了解用户希望使用哪个OpenID提供商的唯一地方。
除非网址是HTTPS,否则您无法确定是否存在为您的应用提供不同OpenID提供商的中间人攻击。