J'essaie d'utiliser OpenID pour me permettre de me connecter à mon site via Google. Finalement, il sera utilisé par les visiteurs, mais pour l'instant, il est simplement codé en dur comme Google pour vérifier mon propre login uniquement.DotNetOpenId ClaimedIdentifier - Est-il sûr de coder en dur ceci?
Mon code ressemble à ceci:
var openId = new OpenIdRelyingParty();
// If we have no response, start
if (openId.Response == null)
{
// Create a request and send the user off
openId.CreateRequest("https://www.google.com/accounts/o8/id").RedirectToProvider();
}
else
{
// We got a response - check it's valid
if (openId.Response.Status == AuthenticationStatus.Authenticated
&& openId.Response.ClaimedIdentifier == "blah_blah")
{
}
}
Maintenant, j'ai quelques questions:
Est-il sûr d'exécuter cette fois, la capture ClaimedIdentifier et le mettre là-dedans. Est-ce que ce sera toujours pareil?
Est-il sûr de coder en dur là (est-ce secret? Si un utilisateur ne le voir, serait-ce comprimise quoi que ce soit? Est-ce qu'un utilisateur forger ce? Ne peut causer Google ClaimedIdentifiers commençant par leur URL?)
J'ai essayé les documents, mais ils sont un peu clairsemés et j'ai des difficultés à trouver des réponses à ces questions.
** Modifier: ** J'ai peut-être répondu à ma propre question. J'ai utilisé une méta-balise sur mon site web (openid.delegate) pour que je puisse utiliser mon URL de blog à la place d'une mauvaise URL Google pour me connecter. Lorsque je me connecte via Google, elle renvoie ClaimedIdentifier comme URL de mon blog. Cela me fait penser que n'importe qui pourrait aller à ma page de connexion, se connecter comme leur propre compte Google et il les retournerait sur mon blog avec mon propre ClaimedIdentifier.
- Comment suis-je supposé valider un utilisateur lorsque ClaimedIdentifier semble si facilement falsifié?
Merci pour la réponse - Je me sens plus en sécurité maintenant! : D J'étais sûr qu'il devait être sûr (sinon comme vous le dites, openID serait inutile), mais je ne savais pas si le claim_id était un jeton de temp ponctuel (le Google original semble un peu aléatoire).Tout est clair maintenant :) –
Ouais j'ai couru dans cette URL gotcha avec google. – UpTheCreek