janrain python-openid を調べていたところ、OP から RP への通信で次のパラメーターが表示されます -
1)openid.assoc_handle:{HMAC-SHA1}{50054f83}{NXBefg==}
アルゴリズム名の後の 2 つのパラメーターは何ですか? それは鍵ですか?
2)
openid.sig:eQwD7bcwAyfC9HrwQzEXFIGsKq8=
openid.signed:assoc_handle,claimed_id,identity,mode,ns,ns.sreg,op_endpoint,response_nonce,return_to,signed
上記の 2 つのパラメーターは、OP によって返された署名と、署名されたフィールドです。RP は署名をどのように復号化しますか? 共有されているキーが表示されません。
3) または、リクエスト中にキーが共有されている場合、攻撃者がキーを入手してレスポンスを変更できないのはなぜですか?
ありがとう、ムルタザ