我剛剛在我的網站上開始整合OpenID。我看到的所有示例都將聲明的ID存儲在Cookie中。它如何安全?OpenID:爲什麼在cookies中存儲聲明的ID是安全的?
例如,myopenid.com返回一個聲稱的ID是{用戶名} .myopenid.com
因此,如果黑客知道你的聲明ID,他可以很容易地入侵您的帳戶。
當然,您在將ID放入Cookie並用於身份驗證之前,先將ID加密/ md5,但它就像存儲沒有密碼的用戶名一樣!
更新
現在,我想更多地瞭解它,我才明白,你需要在OpenID提供商被記錄下來,這樣即使黑客獲得用戶名,他還需要供應商的密碼登錄我正確嗎?
更新2 不,更新1不正確:)我的網站無法檢查用戶是否成功登錄。我收到的只是聲明的ID,我只需要相信用戶已通過身份驗證。這真是令人困惑......
Cookie不安全嗎? jar(文件系統)上的蓋子(權限)通常就足夠了。如果你擔心中間人會截取cookie,那麼這個問題與你所問的是正交的,不是嗎? – bzlm
@Isaac,你現在正在使用一個。你覺得有風險嗎? – bzlm
@bzlm:也許我應該......? :) 但嚴重的是,我們總是被告知不要在cookie中存儲任何關鍵數據。網站偏好和挑戰反應很好,但明碼密碼,或者,例如,它的MD5不好。問題是OpenID在cookie中存儲了關鍵數據嗎? – Isaac