우리는 제공자의 API를 사용하고 있습니다. 다음 버전에서는 OpenId 서버를 제공하지만 대부분 사용자가 데스크톱 응용 프로그램을 사용하고 있습니다. 우리가 만들고있는 다른 웹 사이트는이 응용 프로그램에서 열릴 것이며 우리는이 공급자에 저장된 자원에 액세스하기 위해 openid와 연결할 것입니다.데스크톱 응용 프로그램으로 OpenId?
여전히 사용자가 이미 데스크톱으로 인증 된 경우 어떻게 작동하는지 이해할 수 없지만 다른 시간을 인증해야합니까? 브라우저를 닫고 다시 열면 다시해야합니까?
어떤 의미에서 안전하지 않습니까? –
알렉스, 차를 잠그고 집을 지키지 않은 방법을 묻는 것과 같습니다. 자신이 실제로 보호하고있는 것을 자문해야합니다. 데스크톱 응용 프로그램은 OpenID Provider와의 통신을 스푸핑하는 로컬 사용자에게 전적으로 취약합니다 (예를 들어). 다른 사용자와 마찬가지로 가장 할 수 있습니다. 또한 OpenID는 데스크탑 응용 프로그램이 로컬 사용자의 신원을 원격 네트워크 자원에 "증명"하도록 권한을 부여하지 않으므로 로컬 또는 네트워크 자원을 데스크탑 응용 프로그램 용 OpenID로 보호 할 수 없습니다. –
@ Andrew, Google OpenID는 계정 이름 대신 고유 한 GUID를 openID relayer에 반환합니다. 이 guid가 무엇인지 추측 할 방법이 없으므로 사용자를 사칭하는 것은 불가능합니다. 데스크톱 응용 프로그램이 openid 계정 대신 guid를 반환하는 openID 공급자 만 허용하도록 제한하려면 응용 프로그램이 안전합니까? GUID를 비밀 키로 사용하여 로컬 데이터를 암호화하고 싶습니다. –