我知道我在阅读提供商身份验证政策扩展规范时遗漏了一些内容:
http://openid.net/specs/openid-provider-authentication-policy-extension-1_0-01.html
它告诉我你要求Open ID Provider(OP)执行一些额外的身份验证。然后,OP会回复您,告诉您是否执行了该身份验证。例如,这如何防止网络钓鱼? OP不能简单地说它做了什么或不做什么认证?
答案 0 :(得分:2)
引用您已链接的文档中的介绍(强调添加):
虽然依赖方仅使用技术可以验证通过此扩展程序表达的任何信息,但这并不限制此扩展程序的实用程序。 OpenID中缺少单一的必需信任模型,允许依赖方使用他们选择的任何标准来决定他们信任哪些提供商 - 同样RP也将决定是否信任来自此类OpenID提供商的身份验证策略的声明。
PAPE仅用于请求使用身份验证方法,而不是验证它 例如,在技术上不可能验证OP使用物理多因素身份验证,因此扩展甚至不会尝试这样做。