OpenID

✍ dations ◷ 2025-06-30 11:11:44 #自2010年5月包含空白章节的条目,认证方法,网络安全

OpenID是一个去中心化的网上身份认证系统。对于支持OpenID的网站,用户不需要记住像用户名和密码这样的传统验证标记。取而代之的是,他们只需要预先在一个作为OpenID身份提供者(identity provider, IdP)的网站上注册。OpenID是去中心化的,任何网站都可以使用OpenID来作为用户登录的一种方式,任何网站也都可以作为OpenID身份提供者。OpenID既解决了问题而又不需要依赖于中心性的网站来确认数字身份。

OpenID最初由LiveJournal的Brad Fitzpatrick开发,后来加入了Light-Weight Identity,Yadis,Sxip DIX protocol和XRI/i-names。未来的OpenID规范正在由OpenID.net开发,很多技术公司、服务公司和开源开发者都参与其中。

为了推动OpenID的应用,2006年8月,一些公司赞助设立了OpenID奖励计划,对前10位满足要求的软件项目各奖励5000美元。

2007年12月5日,OpenID验证规范9.0和属性交换规范9.0发布。

OpenID相关基本术语:

最终用户(End User)

标识(Identifier)

身份提供者(Identity Provider, IdP)

依赖方(Relying Party, RP)

一个想要为其访问者提供OpenID登录网站,比如example.com,需要在页面的某个地方放置一个登录表单。与提示用户输入用户名和密码的传统登录表单不同的是,这种表单只有一个输入框:OpenID标识。网站可以选择在这个输入框旁显示一个小的OpenID图标。这个表单与OpenID客户端库的实现相连接。

假设用户Alice在身份提供者openid-provider.org处注册了一个OpenID标识:alice.openid-provider.org。如果Alice想使用这个标识来登录example.com,她只需要到example.com去将alice.openid-provider.org填入OpenID登录表单。

如果标识是一个URL,依赖方example.com做的第一件事情是将这个URL转换为典型格式:http://alice.openid-provider.org/。在OpenID 1.0中,依赖方接着请求该URL对应的网页,然后通过一个HTML链接tag发现提供者服务器,比如http://openid-provider.org/openid-auth.php。同时也确定是否应该使用授权身份(delegated identity)。从OpenID 2.0开始,依赖方请求的是XRDS文档(也称为Yadis文档),使用内容类型application/xrds+xml。这种类型在URL中可能存在,而在XRI中总是存在。

依赖方可以通过两种模式来与身份提供者通信:

第二种模式更加常用。而且,如果操作不能够自动进行的话,checkid_immediate模式会转换为checkid_setup模式。

首先,依赖方与身份提供者创建一个“共享秘密”——一个联系句柄,然后依赖方存储它。如果使用checkid_setup模式,依赖方将用户的网页浏览器重定向到提供者。在这个例子里,Alice的浏览器被重定向到openid-provider.org,这样Alice能够向提供者验证自己。

验证的方法可能不同,但典型地,OpenID提供者要求提供密码(然后可能使用cookies存储用户会话,就像很多基于密码验证的网站的做法一样)。如果Alice当前没有登录到openid-provider.org,她可能被提示输入密码,然后被问到是否信任依赖方页面——如http://example.com/openid-return.php,这个页面被example.com指定为用户验证完成后返回的页面——获取她的身份信息。如果她给出肯定回答,OpenID验证被认为是成功的,浏览器被重定向到被信任的返回页面。如果Alice给出否定回答,浏览器仍然会被重定向,然而,依赖方被告知它的请求被拒绝,所以example.com也依此拒绝Alice的登录。

但是,登录的过程还没有结束,因为在这个阶段,example.com不能够确定收到的信息是否来自于openid-provider.org。如果他们之前创建了“共享秘密”,依赖方就可以用它来验证收到的信息。这样一个依赖方被称为是stateful的,因为它存储了会话间的“共享秘密”。作为对比,stateless的验证方必须再作一次背景请求(check_authentication)来确保数据的确来自openid-provider.org。

Alice的标识被验证之后,她被看作以alice.openid-provider.org登录到example.com。接着,这个站点可以保存这次会话,或者,如果这是她的第一次登录,提示她输入一些专门针对example.com的信息,以完成注册。

OpenID不提供它自己的验证方式,但是如果身份提供者使用强验证,OpenID可被用于安全事务,比如银行和电子商务。

OpenID正在被越来越多的大网站采用。Yahoo!已经支持OpenID。所有有Yahoo账户的用户可以通过OpenID directed identity方式登录支持OpenID信赖方网站。 

Google 曾经支持OpenID 2.0,不过自 2015 年 4 月 20 日起,Google 账户将不再使用 OpenID,转而使用OpenID Connect。

Orange、AOL与Yahoo!都已经支持OpenID。AOL提供每个AOL或AIM的用户一组OpenID Identity,目前还在测试阶段,为openid.aol.com/username

目前使用OpenID代替一般账号密码的网站包括了 著名的开源社区SourceForge、LiveJournal、Zooomr、Wikitravel、ma.gnolia.com、claimid.com以及Jyte。

在openid.net上有一份公开的服务器列表,可以让一般人申请OpenID Identity。

2014年5月,新加坡南洋理工大学一位名叫王晶(Wang Jing)的物理和数学科学学院博士生,发现了OAuth和OpenID开源登录工具的"隐蔽重定向漏洞"。

其实漏洞不是出现在OpenID这个协议本身,这个协议本身是没有问题的,之所以存在问题是因为各个厂商没有严格引用官方文档,只是实现了简版。问题的原因在于OpenID的提供方提供OpenID授权过程中没有对回调的URL进行校验,从而导致可以被赋值为非原定的回调URL。

相关

  • 李比希尤斯图斯·冯·李比希男爵(德语:Justus Freiherr von Liebig,1803年5月12日-1873年4月18日)出生于今日德国黑森州前身黑森大公爵国的达姆施塔特,德国化学家,他最重要的贡献在于农业
  • 家婆姻亲指基于婚姻关系而生之亲属型态,一方配偶与他方配偶之亲属间,因双方缔结婚姻后,成为相互具法律上亲属关系的情况。《中华民国民法》第969条规定,包括配偶的血亲、血亲的配偶
  • 非言语交际非言语交际(英语:Nonverbal communication)或译非语文沟通,是社会心理学中的概念,指人在传达讯息时,会使用语言、文字以外的媒介,例如脸部表情、肢体语言或音调等,来辅助说明语文的
  • 巨人柱巨人柱(学名:Carnegiea gigantea)是巨人柱属(Carnegiea)中唯一的一个物种,属于仙人掌科,也是世界最高的仙人掌品种之一,高度可超过12米(39英尺),原产于墨西哥的索诺拉州、美国亚利桑那
  • KeoKEO是一个人造卫星计划的名字,同时也是实施这个计划的一个法国非营利性组织的名称。此卫星将搭载当今人类留给未来世代的信息,预计在发射5万年后重返地球。该计划由法国的让·
  • CIE国际照明委员会(英文:International Commission on Illumination,法文:Commission internationale de l'éclairage,采用法文缩写:CIE)是一个有关光学、照明、颜色和色度空间科学领
  • 即墨之战即墨之战发生于前284年至前279年,战国时代燕国名将乐毅统率燕军攻打齐国即墨城的一场攻防战争。前284年,燕国名将乐毅统率燕、秦、赵、韩、魏、楚六国联军攻打齐国,并于济西之
  • 轿轿,也称轿子、舆、肩舆、抬椅、滑竿等,是一类交通工具。广义的轿子外形为装有抬杠的无轮结构,乘客坐在其中,由两人或多人肩扛或手抬,步行运输。抬轿者称为轿夫。和马车等其他旧时
  • 资讯处理信息处理,指信息相对于观察者来说的处理、变化过程或方式。电脑的功用是将资料经过处理后变成资讯。电脑使用指令来执行处理动作,所谓指令是告诉电脑如何执行特定工作的步骤。
  • 灿福蛱蝶灿福蛱蝶(学名:),又名凸纹豹蛱蝶,是一种蛱蝶,原住于欧洲至亚洲及日本。灿福蛱蝶的雄蝶于每年7月及8月间飞舞,会在幼虫的目标植物上透过产卵管产卵。它们一般会在石灰岩或枯萎的欧洲