내 사이트에 Open ID 기반 인증 시스템이 있습니다.요청이 완료되면 내 openid.op_endpoint를 확인하는 방법
때때로 사용자 계정이 [email protected]
에 등록해야합니다 그들은이 경우에 나는 자동으로 계정을 연결하고 그들을 로그인하고 싶습니다 구글 개방 ID 공급자 https://www.google.com/accounts/o8/id
를 사용하여 로그인을 시도합니다.
을 할 때 과정 내가 어딘가에서 그 페이팔을 얻을 openid.op_endpoint=https://www.google.com/accounts/o8/id
주장.
내 질문 :
- 내가 올바른 것으로
openid.op_endpoint
을 믿을 수 있습니까? 악의적 인 openid 제공 업체가이를 스푸핑 할 수 있습니까?
그림를 들어, 자신의 오픈 ID 공급자로 http://evil.org
에있는 사람의 유형을 말할 어떻게 든 openid.op_endpoint
이 구글 주장이 다시 요청을 받고 끝낼 수 있습니다? 유효성을 검사하기 위해 nonce에 대해 추가 정보를 저장해야합니까?
사양은 kind of tricky 더
확장 된 질문보기 –
안녕하세요. 묘사하는 시나리오는 공격자가 확실히 만들 수 있습니다. 그러나 올바르게 구현 된 OpenID RP는 속지 않습니다. RP가 다음과 같은 공격에 취약하지 않다는 것을 확인하는 일련의 테스트가 있습니다. http://test-id.org/RP/VerifyAssertionDiscovery.aspx –