Nel OpenID specs, si dice:OpenID: l'identificatore è univoco? quali sono le differenze tra gli identificatori
- Identifier:
Un identificatore è solo un URL. L'intero flusso del protocollo di autenticazione OpenID serve a dimostrare che un utente finale è proprietario di un URL.
- Identifier dichiarati:
un identificatore che l'utente finale dice di loro proprietà, anche se questo non è stato ancora verificato dal consumatore.
- Verificati Identifier:
un identificatore che l'utente finale ha dimostrato di un consumatore che possiedono.
- Identity Provider:
Chiamato anche "IdP" o "Server". Questo è il server di autenticazione OpenID che un consumatore contatta per la prova crittografica che l'utente finale possiede l'Identificatore rivendicato. Come l'utente finale autentica il proprio provider di identità è al di fuori dell'ambito di OpenID Authenticaiton.
è l'URL identificatore univoco? Cosa è esattamente?
Se non è univoco, c'è qualcosa di unico in modo che il consumatore possa differenziarsi tra utenti diversi sullo stesso URL dell'endpoint OpenID?
Qual è la differenza tra l'IdP e l'URL dell'identificatore?
In altri punti, ho letto il termine "URL endpoint dell'endpoint".
- L'URL dell'endpoint OpenID è uguale all'IDP? Quindi l'IdP è anche un URL?
Prendiamo GoID OpenID come esempio. Quando alcuni siti mi chiedono un login OpenID, utilizzo l'URL OpenID https://www.google.com/accounts/o8/id
. È l'URL dell'identificatore? Se è così, è chiaramente non unico. Spesso, quando ricontrollo le impostazioni del mio account su quel sito sul mio login OpenID, questo non mostra l'URL inserito ma lo ha esteso in qualche modo come https://www.google.com/accounts/o8/id?id=AltOawk...
. Quell'URL ora sembra un po 'unico.
Quello che oggi è lo scopo della
https://www.google.com/accounts/o8/id
? È l'URL dell'endpoint OpenID? O è l'URL IdP (se questo è qualcosa di diverso)?E qual è lo scopo di
https://www.google.com/accounts/o8/id?id=AltOawk...
?È davvero unico e sempre lo stesso per il mio account my? Quindi quell'URL è ciò che mi identifica?Perché non hanno usato
https://www.google.com/accounts/o8/id?u={google-username}
invece di questo criptico...?id=AltOawk...
?Qual è l'URL dell'identificatore in caso di Google?
Qual è l'URL dell'endpoint OpenID? (Qual è l'URL IdP?)
Il motivo che chiedo è perché sto cercando di implementare il mio punto finale OpenID.
- L'URL dell'endpoint OpenID è uguale all'URL dell'identificatore?
Nella mia implementazione di endpoint OpenID, ho esattamente quel problema, che non può differire tra utenti diversi. Un sito Web di un utente prende solo tutti gli utenti su quell'endpoint OpenID come lo stesso. Ovviamente è sempre lo stesso URL OpenID, ma è anche il caso di OpenID di Google.
- Se l'utente finale utilizza questo URL "generale", come posso reindirizzare/inoltrarlo nell'implementazione dell'endpoint OpenID all'URL "concreto"/univoco (identificativo?)? O come faccio a distinguere tra diversi utenti finali sullo stesso URL OpenID?
Nel mio attuale implementazione, quando mi permetto alcune analisi del debug, la prima richiesta che ottenga è il checkid_setup modalità. Nelle specifiche, dice che sto ottenendo l'Identificatore Rivendicato qui. A causa di ciò che ho inserito sul sito del consumatore (e la mia traccia di debug dice lo stesso), questo è l'URL "generale" (l'URL dell'endpoint OpenID). Cioè ovvero non l'URL univoco.
- Devo eseguire il reindirizzamento a quel punto ora? Le specifiche non dicono nulla al riguardo. Dove posso dire l'URL "concreto"? (Nel mio caso, questo è l'URL
http://{endpoint-url}?u={endpoint-username}
.)
Ci sono anche i termini "OpenID server" (URL) e "OpenID delegate" (URL).
In che modo questi termini si riferiscono agli altri termini sopra riportati? Tutto uguale all'URL dell'endpoint OpenID?
Che cos'è "Identità OpenID"? Uguale all'URL dell'ID identificatore?
Vedi anche la relativa domanda: How does OpenID differ between different logins on the same OpenID endpoint?
(domanda Meta:? Dovrei forse dividere questo in un sacco di domande in modo indipendente temo che potrei non avere risposte per tutte le mie domande altrimenti.)
Perché non 'id? U = {nomeutente} & oidrealm = {...}' ma un "hash"? Un motivo potrebbe essere che forse il tuo indirizzo email può essere derivato dal tuo nome utente? (Nome utente Gmail?) E potresti non voler dare la tua email a Relying Party. Un altro motivo potrebbe essere il fatto che non vuoi nemmeno regalare il tuo nome utente (anche se non può essere mappato sulla tua email), a causa di problemi di privacy. – KajMagnus
[Qui ho trovato una risposta da Google] (http://groups.google.com/group/google-federated-login-api/web/the-most-important-technical-issue-in-using-the-google -accounts-api) (Penso): * Abbiamo scelto di rendere gli identificatori realm-specifici per fornire una misura della privacy ai nostri utenti. Ad esempio, puoi creare un sito che fornisce servizi agli utenti di Google Account, senza dover conoscere le loro identità su Google * – KajMagnus