1. Trang chủ
  2. Câu hỏi và trả lời
  3. OpenID + nhớ tôi/ở lại đăng nhập

OpenID + nhớ tôi/ở lại đăng nhập

2009-06-04 26 views
19

Tôi có một câu hỏi như thế nào/gì những phương pháp tốt nhất là sử dụng OpenID và cũng cung cấp khả năng để duy trì đăng nhập.OpenID + nhớ tôi/ở lại đăng nhập

Nếu tôi nhìn vào Stackoverflow ví dụ tôi có đăng nhập bằng Google và nếu tôi đóng trình duyệt và quay trở lại nó vẫn có tôi như đăng nhập.

Tuy nhiên, tôi không đăng nhập vào Google và Moreoever tôi đã loại bỏ stackoverflow từ danh sách các dịch vụ ủy quyền mà có quyền truy cập vào tài khoản Google của bạn. Tôi sẽ ngây thơ mong đợi rằng stackoverflow sẽ nhắc tôi đăng nhập lại nhưng nó không.

Vì vậy, câu hỏi của tôi là, các phương pháp hay nhất về OpenId và ghi nhớ người dùng được xác thực qua các phiên là gì?

Nguồn

2009-06-04 jamie

Trả lời

11

OpenID vẫn còn khá mới và một số bên phụ thuộc đang thử các cách mới và khác nhau để triển khai OpenID. Có một công việc đang tiến hành best practices document for relying parties được tổ chức bởi nền tảng OpenID. Đặc biệt, họ giải quyết các câu hỏi về cookie và độ dài phiên trong last section của họ. Chắc chắn là một ý tưởng thú vị để sử dụng cookie claim_id liên tục thay vì cookie phiên liên tục để làm cho cuộc sống của người dùng dễ dàng hơn - họ chỉ phải đăng xuất khỏi OP của họ và đóng trình duyệt.

Cá nhân tôi thấy hành vi bạn mô tả trên StackOverflow khá tự nhiên. Nếu OpenID nằm ngoài ảnh và bạn đã đăng nhập vào một trang web tên người dùng/mật khẩu trên hai máy tính khác nhau với cookie cố định (một kịch bản rất phổ biến) và bạn đã thay đổi mật khẩu của mình, tôi sẽ không ngạc nhiên nếu máy tính vẫn còn cho tôi đăng nhập. Bạn có thể gọi đó là lỗ hổng bảo mật, nhưng đó vẫn là thực hành bình thường. Vì vậy, bình thường trên thực tế Gmail gần đây đã thêm một màn hình ở cuối màn hình Hộp thư đến cho bạn biết nơi bạn đã đăng nhập và cho bạn cơ hội để vô hiệu hóa cookie phiên của họ.

Tôi cho rằng một phương pháp tương tự có thể được thực hiện bởi bất kỳ RP nào, bất kể phương thức xác thực. Và điều đó có lẽ sẽ giảm thiểu mối lo ngại về bảo mật mà bạn có.

Nguồn

2009-06-04 16:50:49

+2

4 năm sau, kiểm tra xem có tiến bộ nào về điều này không? –

+1

4 năm sau, vâng tôi tin rằng có, có toàn diện [specs] (http: // openid.net/developers/specs /) tại đây. –

4

Ngăn xếp tràn có thể sử dụng cookie để nhớ bạn là số người dùng xyz hoặc id phiên 1234. Sau khi xác thực, OpenID không có gì để làm với phiên nữa. SO không có khả năng xem liệu bạn có còn đăng nhập vào Google hay không vì vậy điều này dường như chỉ là tự nhiên.

Nguồn

2009-06-04 11:36:32

+1

tôi hiểu/đánh giá cao nó đang sử dụng cookie của riêng mình nhưng tôi hy vọng rằng ít nhất một số kiểm tra định kỳ sẽ được thực hiện đối với google vì tôi đã xóa tràn ngăn xếp khỏi danh sách các dịch vụ được ủy quyền chống lại tài khoản google của tôi. Theo thiết lập này một người nào đó khá dễ dàng có thể đến và sử dụng máy của tôi và đăng nội dung trong ngăn xếp tràn khi tôi đã nói rằng tôi không muốn điều này xảy ra trong Google. – jamie

+1

Bạn đã cho biết rằng bạn không muốn tràn ngăn xếp để xác thực tài khoản google của mình nữa. Nó không xác thực bởi vì bạn đã làm điều đó một thời gian trước đây. Điều bạn muốn không thể thực hiện mà không yêu cầu bạn đăng nhập lại định kỳ. –

+2

Vấn đề là, từ quan điểm của người dùng, tôi nghĩ điều này làm cho OpenId hơi mâu thuẫn. Bạn có thể có một nơi để 'cung cấp quy trình đăng nhập' nhưng bạn không có một nơi để kiểm soát trang web nào có thể và không thể sử dụng nó. Ths có khả năng có nghĩa là khi các trang web khác, có hiệu lực, giữ lại đầy đủ thông tin từ bạn đăng nhập vào họ sau đó không cần phải xác thực lại bạn. Dù sao câu hỏi của tôi không được hướng vào SO mỗi lần, mà đúng hơn là những gì các phương pháp hay nhất được đề nghị liên quan đến các giải pháp OpenId & 'stay logged in' là/are. – jamie

Các vấn đề liên quan

 Các vấn đề liên quan