如果我的术语不准确,则表示歉意。
我有一个充当开放式依赖方的应用程序。假设用户通过OpenID登录,并为我的OpenID提供商提供了URL。身份验证发生了,我收到了一个开放式身份。
如果我需要再次验证用户,我可以始终使用该身份,而不是最初提供的URL?
一个具体的例子,如果以上是胡说八道。要使用Google作为开放式提供商,用户将输入https://www.google.com/accounts/o8/id。经过身份验证后,Google为我提供了诸如https://www.google.com/accounts/o8/id?id=A1B2c3d45F6g7之类的身份URL。我随后可以使用该身份URL进行身份验证(我已经检查过);但这对于所有提供商都保证了吗?
该身份URL是声称的标识符。该规格说,依赖方应将其用作本地存储有关用户的信息的关键。"因此,您可以相当确信,对于任何正确实施的提供商,您将为给定的用户获得稳定的标识符。
但是,请注意,这样的标识符通常是每个RP域的特殊性(嗯,从技术上讲, REALM ;此功能是防止RPS在跟踪不同的用户活动中的隐私保护措施服务)。因此,您可能会在例如之间的同一用户中获得不同的标识符。您的分期环境和生产环境。