OpenID

✍ dations ◷ 2024-12-23 01:49:39 #自2010年5月包含空白章节的条目,认证方法,网络安全

OpenID是一个去中心化的网上身份认证系统。对于支持OpenID的网站，用户不需要记住像用户名和密码这样的传统验证标记。取而代之的是，他们只需要预先在一个作为OpenID身份提供者（identity provider, IdP）的网站上注册。OpenID是去中心化的，任何网站都可以使用OpenID来作为用户登录的一种方式，任何网站也都可以作为OpenID身份提供者。OpenID既解决了问题而又不需要依赖于中心性的网站来确认数字身份。

OpenID最初由LiveJournal的Brad Fitzpatrick开发，后来加入了Light-Weight Identity，Yadis，Sxip DIX protocol和XRI/i-names。未来的OpenID规范正在由OpenID.net开发，很多技术公司、服务公司和开源开发者都参与其中。

为了推动OpenID的应用，2006年8月，一些公司赞助设立了OpenID奖励计划，对前10位满足要求的软件项目各奖励5000美元。

2007年12月5日，OpenID验证规范9.0和属性交换规范9.0发布。

OpenID相关基本术语：

最终用户（End User）

标识（Identifier）

身份提供者（Identity Provider, IdP）

依赖方（Relying Party, RP）

一个想要为其访问者提供OpenID登录网站，比如example.com，需要在页面的某个地方放置一个登录表单。与提示用户输入用户名和密码的传统登录表单不同的是，这种表单只有一个输入框：OpenID标识。网站可以选择在这个输入框旁显示一个小的OpenID图标。这个表单与OpenID客户端库的实现相连接。

假设用户Alice在身份提供者openid-provider.org处注册了一个OpenID标识：alice.openid-provider.org。如果Alice想使用这个标识来登录example.com，她只需要到example.com去将alice.openid-provider.org填入OpenID登录表单。

如果标识是一个URL，依赖方example.com做的第一件事情是将这个URL转换为典型格式：http://alice.openid-provider.org/。在OpenID 1.0中，依赖方接着请求该URL对应的网页，然后通过一个HTML链接tag发现提供者服务器，比如http://openid-provider.org/openid-auth.php。同时也确定是否应该使用授权身份（delegated identity）。从OpenID 2.0开始，依赖方请求的是XRDS文档（也称为Yadis文档），使用内容类型application/xrds+xml。这种类型在URL中可能存在，而在XRI中总是存在。

依赖方可以通过两种模式来与身份提供者通信：

第二种模式更加常用。而且，如果操作不能够自动进行的话，checkid_immediate模式会转换为checkid_setup模式。

首先，依赖方与身份提供者创建一个“共享秘密”——一个联系句柄，然后依赖方存储它。如果使用checkid_setup模式，依赖方将用户的网页浏览器重定向到提供者。在这个例子里，Alice的浏览器被重定向到openid-provider.org，这样Alice能够向提供者验证自己。

验证的方法可能不同，但典型地，OpenID提供者要求提供密码（然后可能使用cookies存储用户会话，就像很多基于密码验证的网站的做法一样）。如果Alice当前没有登录到openid-provider.org，她可能被提示输入密码，然后被问到是否信任依赖方页面——如http://example.com/openid-return.php，这个页面被example.com指定为用户验证完成后返回的页面——获取她的身份信息。如果她给出肯定回答，OpenID验证被认为是成功的，浏览器被重定向到被信任的返回页面。如果Alice给出否定回答，浏览器仍然会被重定向，然而，依赖方被告知它的请求被拒绝，所以example.com也依此拒绝Alice的登录。

但是，登录的过程还没有结束，因为在这个阶段，example.com不能够确定收到的信息是否来自于openid-provider.org。如果他们之前创建了“共享秘密”，依赖方就可以用它来验证收到的信息。这样一个依赖方被称为是stateful的，因为它存储了会话间的“共享秘密”。作为对比，stateless的验证方必须再作一次背景请求（check_authentication）来确保数据的确来自openid-provider.org。

Alice的标识被验证之后，她被看作以alice.openid-provider.org登录到example.com。接着，这个站点可以保存这次会话，或者，如果这是她的第一次登录，提示她输入一些专门针对example.com的信息，以完成注册。

OpenID不提供它自己的验证方式，但是如果身份提供者使用强验证，OpenID可被用于安全事务，比如银行和电子商务。

OpenID正在被越来越多的大网站采用。Yahoo!已经支持OpenID。所有有Yahoo账户的用户可以通过OpenID directed identity方式登录支持OpenID信赖方网站。　

Google 曾经支持OpenID 2.0，不过自 2015 年 4 月 20 日起，Google 账户将不再使用 OpenID，转而使用OpenID Connect。

Orange、AOL与Yahoo!都已经支持OpenID。AOL提供每个AOL或AIM的用户一组OpenID Identity，目前还在测试阶段，为openid.aol.com/username。

目前使用OpenID代替一般账号密码的网站包括了著名的开源社区SourceForge、LiveJournal、Zooomr、Wikitravel、ma.gnolia.com、claimid.com以及Jyte。

在openid.net上有一份公开的服务器列表，可以让一般人申请OpenID Identity。

2014年5月，新加坡南洋理工大学一位名叫王晶（Wang Jing）的物理和数学科学学院博士生，发现了OAuth和OpenID开源登录工具的"隐蔽重定向漏洞"。

其实漏洞不是出现在OpenID这个协议本身，这个协议本身是没有问题的，之所以存在问题是因为各个厂商没有严格引用官方文档，只是实现了简版。问题的原因在于OpenID的提供方提供OpenID授权过程中没有对回调的URL进行校验，从而导致可以被赋值为非原定的回调URL。

相关

火灾暴风火灾暴风（英语：Firestorm），又称火风暴或火灾风暴，是大范围火灾本身所创造和维持的风力系统，是严重野火或山火中的一种自然现象。也会用来描述一般的巨型火灾，火灾风暴的确定特征必
异常行为异常行为（或功能障碍行为）是一种行为特征，归因于那些被认为是罕见或功能障碍的病症。由社会不接受的行为组成，行为在非典型或不寻常的情况下被认为是不正常的，并且导致个体活动受
威廉·韦伯威廉·爱德华·韦伯（德语：Wilhelm Eduard Weber，1804年10月24日－1891年6月23日），德国物理学家，19世纪最重要的物理学家之一。国际单位制中磁通量的单位“韦伯”（缩写：Wb）是以威廉·韦
有毒气体毒气（又称“有毒气体”或“剧毒气体”，旧称“毒气瓦斯”或“毒瓦斯”）乃气态的毒素，是对生物体有害的气体之统称。一般而言是攻击或毁损呼吸道，造成窒息或肺出血的病症。吸入过量
金振民金振民（1941年－），中国构造地质学家。出生于浙江温州。中国地质大学（武汉）教授。1965年7月毕业于北京地质学院。现任教育部岩石圈构造、深部过程及探测技术重点实验室学术委员会主
东京海上东京海上控股（日语：東京海上ホールディングス株式会社／とうきょうかいじょうホールディングス，英语：Tokio Marine Holdings, Inc.。东证1部：8766，Pink Sheets: TKOMY）是所属于三菱
云物理学大气物理学大气力学（英语：Synoptic scale meteorology）天气 (分类) · (主题) 气候 (分类) 气候变迁 (分类) 云物理学是研究导致大气层云层形成，生长和冷凝的物理过程。云包
格蒂·科里格蒂·特蕾莎·科里（Gerty Theresa Cori，出生名为拉德尼茨，Radnitz，1896年8月15日－1957年10月26日），美国生物化学家，1947年她与丈夫卡尔·斐迪南·科里以及阿根廷医生贝尔纳多·奥赛
劳伦·克里斯蒂劳伦·克里斯蒂（英语：Lauren Christy，1967年11月19日－）是英国歌手，亦是一位集作曲、作词、音乐制作于一身的音乐制作人，现时为音乐创作团队“The Matrix”的成员（其成员包括有现任丈
三硫三硫是化学式为S3的化合物，又称硫三聚体或三原子硫，是一种硫的同素异形体。它是樱桃红色的气体，在713 K（440 °C；824 °F）和1,333 Pa（10.00 mmHg；0.1933 psi）下占硫蒸气的10%。在