3
Nous utilisons une API d'un fournisseur; dans leur prochaine version, ils fourniraient un serveur OpenId mais la plupart du temps les utilisateurs utilisent leur application de bureau. Un autre site Web que nous construisons serait ouvert à partir de cette application et nous serions soi-disant se connecter avec openid pour accéder aux ressources stockées dans ce fournisseur.OpenId avec l'application de bureau?
Encore je ne comprends pas comment cela fonctionnerait si l'utilisateur est déjà authentifié avec le bureau, devront-ils s'authentifier une autre fois? Que se passe-t-il s'ils ferment leur navigateur et le rouvrent, devront-ils le refaire?
Dans quel sens n'est-il pas sécurisé? –
Alex, c'est comme enfermer votre voiture et vous demander comment vous n'avez pas sécurisé votre maison. Vous devez vous demander ce que vous protégez réellement. Une application de bureau est entièrement vulnérable (par exemple) à un utilisateur local usurpant la communication avec le fournisseur OpenID, ce qui lui permettrait de se faire passer pour un autre utilisateur. En outre, OpenID n'autorise pas l'application de bureau à «prouver» l'identité de l'utilisateur local à toute ressource réseau distante, de sorte que les ressources locales ou réseau ne peuvent pas être protégées par OpenID pour les applications de bureau. –
@ Andrew, Google openID renvoie un guid unique au lieu du nom de compte au relieur openID. Comme il n'y a aucun moyen de deviner ce qu'est ce guid, il serait impossible d'usurper l'identité d'un utilisateur, non? Si une application de bureau se limitait à accepter uniquement les fournisseurs openID qui retournent un guid à la place du compte openid, l'application serait-elle sécurisée? Je souhaite utiliser le guid comme clé secrète pour crypter les données locales. –