我想知道如果我可以說改變我的開放ID網址:我可以更改我的開放式ID URL更改嗎?
www.abc.com/username
到
www.pqr.com/username
雖然依賴方仍然認爲我是同一個用戶?
甚至說:
www.abc.com/something/username
到
www.abc.com/somethingelse/username
我直覺地認爲這是不可能的,因爲如果是這樣,那麼它是任何人都可能欺騙別人的身份。
此外,Open ID是否指定依賴方應使用哪些字段來確保用戶身份的安全確定?例如,我希望它能夠與由Open ID服務器發回的用戶名/電子郵件地址一起提供的URL。
此答案假設您嘗試使用兩個不同的URL重定向到同一個OpenID頁面。
我不知道是否有可能爲同一個登錄使用兩個不同的URL,因爲我不確定OpenID要傳遞哪些唯一可識別的信息。堆棧溢出目前不允許這樣:指向相同OpenID門戶的不同URL將以不同方式進行認證。
假設OpenID爲每個帳戶發送唯一信息而不僅僅是每個URL,應該可以在不丟失任何安全性的情況下交換URL。
這不會構成安全風險,因爲同一個OpenID門戶仍然會執行認證,要求正確的用戶登錄。你會在這些頁面上使用OpenID的代表團只是重定向到正確的OpenID身份驗證的門戶網站:
<link rel="openid.server" href="http://www.myopenid.com/server" />
<link rel="openid.delegate" href="http://YOUROPENID.myopenid.com/" />
顯然,如果你確定使用一個OpenID URL的網頁你的帳戶,你沒有完全掌控所有的安全性就喪失。
「我不知道是否有可能爲同一個登錄使用兩個不同的URL,因爲我不確定OpenID傳遞的唯一標識信息。Stack Overflow當前不允許這樣做:指向相同OpenID門戶的不同URL將進行不同的身份驗證「。 是的,這就是我所說的。規範是否提及了中繼方應存儲哪些URL? (如果它)? – dhruvbird 2010-05-26 10:29:55
通過「更改我的OpenID網址」,您的意思是您將使用舊的OpenID網址進行登錄,然後編輯帳戶中列出的網址嗎?這似乎不是安全風險,因爲您必須通過身份驗證來執行此操作。 – 2010-05-26 05:54:26
我實際上是看着一個通用的用例(不是特定於stackoverflow,用戶可以有多個Open ID鏈接到一個stackoverflow帳戶)。但是,看起來這個處理完全取決於依賴方是如何配置的。 – dhruvbird 2010-05-26 09:16:23
說依賴方只使用由openID服務器返回的用戶名和電子郵件ID,但不存儲原始的openID URL。然後,只要他們發送完全相同的響應,我就可以切換提供商。我可以看到有一種方法可以做到這一點,就是在「abc.com」指向的某個地方有一個開放的ID sevrer。然後一段時間,我讓「xyz.com」指向它,「abc.com」不再指向它。我可以使用「xyz.com」作爲接受OpenID並希望登錄到我的舊帳戶的服務的新網址嗎? – dhruvbird 2010-05-26 09:22:07