2

アプリケーションで openid 2.0 を使用しています。ユーザーを確認するには、openid 識別子の値を DB に保存する必要があります。メールも保存できますが、claimedidentifier を保存するのも良い方法のようです。

DB に格納するために、FriendlyIdentifier ではなく ClaimedIdentifier を使用するのが安全なのはなぜですか? それはどのような違いを生むでしょうか?

アプリケーションで両方の値を取得しますが、多くの投稿では、セキュリティ上の問題により FriendlyIdentifier の使用を避けると述べています。ClaimedIdentifier は克服でき、FriendlyIdentifier は克服できないセキュリティ上の問題は何ですか?

4

1 に答える 1

1

誰かが intuit の openid url 形式を複製していくつかのスクリプト値を渡した場合、openid フレンドリ識別子を切り捨ててランダムな文字列を db に保存すると、スクリプトの問題が発生する可能性があります。完全な一意の要求された識別子の値 (https) を保存してから、ユーザーに一致するように取得して切り詰めることをお勧めします。

于 2013-07-31T10:15:05.427 に答える