在openID checkid_setup之后,提供商会使用一组return_to参数重定向到GET。它也可能是帖子,我不确定,但google会返回所有GET。无论如何都没关系。
如果有人向return_to发出虚假请求,该怎么办?
现在我已计划在assoc_handle网址上附加return_to的加密哈希值了吗?有没有更好的方式?
(我正在执行步骤associate然后checkid_setup我是否遗漏了任何其他服务以符合其他服务甚至是谷歌?但我得到了identity和我现有流程的claimed_id
答案 0 :(得分:0)
规范涵盖了这一点 - http://openid.net/specs/openid-authentication-2_0.html#verification
如果你在问号标签中使用PHP,只需使用php-openid库。它正确地验证了断言,并且经过了很好的审查。测试。
如果您只是为了更好地理解OpenID而好奇地问好,那太好了。但请不尝试实施您自己的依赖方库,除非您确信可以正确执行并且不会引入漏洞。很难做对,很容易出错:)