2012-01-19 70 views
1

如果我理解正確,如果用戶批准認證,Google會將用戶帶到openid.return_to中指定的位置。這是否意味着openid.return_to可能是成員區域的URL? Google是否創建了一個cookie或其他內容來表明用戶已通過身份驗證?如果不是,我如何判斷到達會員區的用戶確實是通過OpenID登錄的真正的Google用戶?Google OpenID openid.return_to

回答

1

返回到網址後,您應該驗證它是否確實來自Google。然後,如果驗證成功,您可以假定用戶已登錄。否則,用戶要麼取消了身份驗證,要麼發送虛假斷言,要麼僅僅是身份驗證過程出了問題。

至於它是成員區域的網址 - 它可以是任何網址,但它已被訪問的事實並不意味着用戶已登錄。再次,您必須先驗證它。

這是一個相當複雜的過程,並且取決於以前的身份驗證步驟,因此除非您想要read the specification,否則最好使用openid library來完成此操作。