問題タブ [google-openid]

ログインに Google Apps を使用する会社のイントラネット django プロジェクト (GAE を使用しない) に取り組んでいます。そのため、ユーザーが Google アカウントのログインを使用して django プロジェクトにログインできるようにしたいと考えています。OpenID は適切と思われますが、Oauth も機能する可能性がありますか?

django の認証システムを外部ログイン システムに接続するために、似たような名前のライブラリがたくさんあります。

• django-authopenid - http://bitbucket.org/benoitc/django-authopenid
• django-openid - http://github.com/simonw/django-openid
• django-openidauth - http://code.google.com/p/django-openid-auth/
• ジャンゴ-oauth - http://bitbucket.org/david/django-oauth

統合でやりたいことは次のとおりです。ネイティブのdjangoシステムではなく、ユーザーがGoogleアカウントでログインできるようにします。管理システムなどについては、django のパーミッション モデルを維持します。つまり、これまでに見たことのない新しいアカウントが初めてログインしたときに、django で新しいユーザー レコードが自動的に作成されることを意味すると思います。

これらのプロジェクトのいずれかを使用した経験のある人は、どれが最適かアドバイスできますか? または、試してみた場合に、どれが最もアクティブ/機能的であるかについてのアドバイスですか? ありがとう！

OpenID 仕様では、次のように述べています。

• 識別子：

識別子は単なる URL です。OpenID 認証プロトコルの全体の流れは、エンド ユーザーが URL を所有していることを証明することです。

• 要求された識別子:

消費者によってまだ検証されていませんが、エンド ユーザーが所有していると言う識別子。

• 検証済み識別子:

エンド ユーザーが所有していることを消費者に証明した識別子。

• ID プロバイダー:

「IdP」または「サーバー」とも呼ばれます。これは、エンド ユーザーが要求された識別子を所有していることを暗号で証明するために、コンシューマーが接続する OpenID 認証サーバーです。エンド ユーザーが ID プロバイダーに対して認証する方法は、OpenID 認証の範囲外です。

• 識別子の URL は一意ですか? 正確には何ですか？

• 一意でない場合、消費者が同じ OpenID エンドポイント URL 上の異なるユーザー間で異なるようにするための一意のものはありますか?

• IdP と識別子 URL の違いは何ですか?

他の場所で、「OpenID エンドポイント URL」という用語を読んだことがあります。

• OpenID エンドポイント URL は IdP と同じですか? IdPもURLですか？

例として、Google の OpenID を見てみましょう。一部のサイトで OpenID ログインを要求された場合、私は OpenID URL を使用しますhttps://www.google.com/accounts/o8/id。それは識別子のURLですか？もしそうなら、それは明らかにユニークではありません。多くの場合、OpenID ログインについてそのサイトのアカウント設定をもう一度確認すると、入力した URL は表示されませんが、何らかの形で のように拡張されていますhttps://www.google.com/accounts/o8/id?id=AltOawk...。その URL は今ではユニークなようです。

• の目的はhttps://www.google.com/accounts/o8/id何ですか？それは OpenID エンドポイントの URL ですか? それとも IdP URL ですか (それが何か違う場合)?

• そして、の目的はhttps://www.google.com/accounts/o8/id?id=AltOawk...何ですか？それは本当にユニークで、私のGoogle アカウントで常に同じですか? その URL は私を識別するものですか?

• なぜ彼らhttps://www.google.com/accounts/o8/id?u={google-username}はこの不可解な の代わりに使用しなかったの...?id=AltOawk...ですか?

• Google の場合の識別子 URL は何ですか?

• OpenID エンドポイント URL とは何ですか? (IdP URL とは何ですか?)

私が質問している理由は、独自の OpenID エンドポイントを実装しようとしているからです。

• OpenID エンドポイント URL は識別子 URL と同じですか?

私の OpenID エンドポイントの実装では、異なるユーザー間で異なることができないというまさにその問題があります。コンシューマー Web サイトは、その OpenID エンドポイントのすべてのユーザーを同じものとして扱います。もちろん、常に同じ OpenID URL ですが、Google の OpenID の場合も同様です。

• エンド ユーザーがこの「一般的な」URL を使用する場合、OpenID エンドポイントの実装でそれを「具体的な」/一意の (識別子?) URL にリダイレクト/転送するにはどうすればよいですか? または、同じ OpenID URL で異なるエンド ユーザーを区別するにはどうすればよいですか?

現在の実装では、デバッグ トレースを有効にすると、最初に取得する要求はモード checkid_setup です。仕様では、ここで Claimed Identifier を取得していると書かれています。コンシューマー サイトで入力した内容 (デバッグ トレースも同じことを示しています) のため、これが「一般的な」URL (OpenID エンドポイント URL) です。つまり、それは一意の URLではありません。

• その時点でリダイレクトを行う必要がありますか? 仕様はそれについて何も言いません。「具体的な」URL はどこに伝えればよいですか? (私の場合、それは URLhttp://{endpoint-url}?u={endpoint-username}です。)

「OpenID サーバー」(URL) および「OpenID デリゲート」(URL) という用語もあります。

• これらの用語は、上記の他の用語とどのように関連していますか? OpenID エンドポイント URL とまったく同じですか?

• 「OpenID ID」とは何ですか? OpenID識別子のURLと同じ？

関連する質問も参照してください: OpenID は、同じ OpenID エンドポイントの異なるログイン間でどのように異なりますか?

(メタの質問: これを多くの独立した SO の質問に分割する必要がありますか?そうしないと、すべての質問に対する回答が得られないのではないかと心配しています。)

理論的に OpenID アカウントをユーザーのアカウントにアタッチするために必要なのは、ID の URL だけなのかどうか疑問に思っています。

次のような ID URL があります: https://www.google.com/accounts/o8/id?id=YGnyuGHMUmhUI98nuhUMhu98nuN。

これは OpenID 1.0 と 2.0 で異なりますか?

誰かが尋ねる場合に備えて: 私は Django + django-openid-consumerを使用しています

みんなありがとう=）

アプリケーションにGoogleFederatedLogin（OpenID）のみを使用するようにアプリを移動しています（すべてにGoogleアプリを使用しており、そこでユーザー管理を組み合わせる方が簡単だと感じています）。ログインしてユーザーを作成することはできますが、今ではセキュリティについて考えています...

ユーザーがログインすると、「ログイン」ボタンしかありません。他には何もありません。サイトドメインはハードコーディングされており（SITE_DOMAINが下に表示されています）、ユーザーは通常のGoogleログインページにリダイレクトされます。

コードは次のとおりです。

ログインに成功したら、ユーザーをセッションに保存するだけです...

...そしてアプリケーションコントローラで単純なcurrent_userメソッドを使用します...

私の主な関心事はセキュリティに関するものです。OpenIDAuthenticationはメモリ内ストアを使用しており、全体として、これは実装が少し簡単すぎるように見えました（大量のドキュメントを読んだ後）。基本的なテストでは、これは正常に機能することが示されていますが、私は緊張しています。:)

何かご意見は？

私はopen_id_authenticationプラグインと基本的なrubyopenidgem（googleアプリ用のruby-openid-apps-discovery gemを使用）を使用しています

バインドされていない発見可能な URLを利用する Direct OpenID プロバイダーのリストを持っている人はいますか?

これまでのところ、myopenid、yahoo、Hyv​​es、myspace、myid.net、google、yahoo japan、AOL、Verisign しか見つかりませんでした。

私はOpenIDプロトコルで遊んでいます。ディスカバリーリクエストを送信し、GoogleからXRDSドキュメントを取得しようとしています。カールを使用してターミナルから実行しようとすると、次の出力が得られます

ルビーコードから同じことを行おうとすると、302エラーが発生し、移動先のURLが同じリクエストURLを指します。

コード

コードを介してXRDSを取得する方法と、異なる出力が表示されるのはなぜですか。誰かがそれを説明できますか？

OpenID プロセスの関連付け段階では、Diffie-Hellman を使用して OpenID.session_type 値を暗号化します。diffie-hellman を使用するには、dh_modulus(p) と dh_gen(g) の値を生成する必要があります。私の質問は、OpenID 要求を OpenID プロバイダーに送信するたびに p 値と g 値を生成する必要があるのか​​、それとも新しい関連付けを送信するときにのみ生成する必要があるのか​​ということです。

https://www.google.com/accounts/o8/idおよびhttps://me.yahoo.comは、Google および Yahoo の OpenID エンドポイントまたは URL であり、検出要求を送信する必要があります。 OpenID エンドポイント?

OpenID-Login with Google を実装しました。次の属性タイプ「contact/email」、「namePerson/first」、「namePerson/last」、および「pref/lang」にアクセスできます。しかし、Google アカウントの画像やアバターも必要です。http://www.axschema.org/typesの仕様に関しては、「media/image/default」または「media/image/aspect11」である必要がありますが、どれも機能しません:(

OpenID 経由で画像/アバターにアクセスすることはできませんか?
AX型は別物ですか？
そのイメージを得る他の可能性はありますか？

ユーザーが Google にログインしているかどうかを Web サイトで自動的に検出したい。存在する場合は、データベースをチェックして、それらが既に登録されているかどうかを確認します。登録されている場合は、私のサイトにログインします。それ以外の場合は、ログイン ページにリダイレクトされます。

実験的な x-has-session かもしれないと思いますが、実装方法がわかりません。JanRain OpenID PHP ライブラリを使用しています。

レスポンスが高く評価されました!