मुझे यह एक और एसओ में मिला धागा:
कदम:
- उपयोगकर्ता OpenID सक्षम वेबसाइट से जुड़ता है।
- उपयोगकर्ता क्रेडेंशियल जानकारी दर्ज करता है।
- एक POST BASE64 (प्रदाता को वेबसाइट) के साथ बनाया गया है
- एक उत्तर बनाया गया है (जिसमें समाप्ति शामिल है)
- वेबसाइट उपयोगकर्ता को लॉगिन करने के लिए प्रदाता पर पुनर्निर्देशित करती है।
- उपयोगकर्ता पासवर्ड दर्ज करता है और सबमिट करता है।
- सत्यापन किया जाता है।
- लॉग इन करें!
6-8 कदम कैसे सुरक्षित हैं? जिस तरह से मैं इसे देखता हूं, ग्राहक प्रदाता के साथ प्रमाणित कर रहा है और परिणाम को हमारे सर्वर पर वापस भेज रहा है।
प्रमाणीकरण परिणाम को विफल करने से ग्राहक को क्या रोक रहा है?
उत्तर:
जवाब के लिए 2 № 1मुख्य रूप से, प्रमाणीकरण परिणाम प्रदाता द्वारा क्रिप्टोग्राफी पर हस्ताक्षर किए जाते हैं। अन्य हमलों से बचाव के लिए अन्य सुरक्षा उपाय भी हैं।
उद्धरण OpenID 2.0 विनिर्देश, धारा 11।:
जब रॉलिंग पार्टी को एक सकारात्मक दावा प्राप्त होता है, तो यह दावा स्वीकार करने से पहले निम्नलिखित को सत्यापित करना चाहिए:
- "Openid.return_to" का मान वर्तमान अनुरोध के URL से मेल खाता है (धारा 11.1)
- खोज की गई जानकारी मुखरता में जानकारी से मेल खाती है (धारा 11.2)
- इस ओपी से "ओपनिड.प्रोस्पेन्स_नस" () के लिए समान मान के साथ एक दावे को अभी तक स्वीकार नहीं किया गया हैधारा 11.3)
- दावे पर हस्ताक्षर मान्य है और उन सभी क्षेत्रों पर हस्ताक्षर करने की आवश्यकता है जो हस्ताक्षर किए गए हैं (धारा 11.4)
ग्राहक, निश्चित रूप से, एक नकली प्रमाणीकरण परिणाम भेज सकता है, लेकिन उसने "टी पास सत्यापन" जीता।