0


0

OpenID Fake request to return_to url

Après openID checkid_setup, le fournisseur redirige vers` return_to` avec un ensemble de paramètres GET. Il peut aussi être posté, je ne suis pas sûr, mais google retourne tout GET. Quoi qu’il en soit, cela n’a pas d’importance.

Que faire si quelqu’un fait une fausse demande de retour à?

En ce moment, j’ai prévu de joindre un hachage salé de assoc_handle avec l’url` return_to` + Y at-il une meilleure façon?

_ (Je fais juste aux étapes associer 'puis checkid_setup` me manque-t-il des étapes supplémentaires pour se conformer à d’autres services ou même à google? bien que j’obtienne «identité» et «réclamé_id» avec mon processus existant) _

1 Answer


0


Si vous utilisez PHP comme dans la balise de question, utilisez simplement la bibliothèque php-openid. Il vérifie correctement les assertions et a été bien vérifié et testé.

Si vous demandez par curiosité de mieux comprendre OpenID, tant mieux. Mais s’il vous plaît, n’essayez pas d’implémenter votre propre bibliothèque de partie de confiance, sauf si vous êtes sûr de pouvoir le faire correctement et de ne pas introduire de vulnérabilités. Il est difficile de se tromper et très facile de se tromper :)