确保对请求网站的Google OpenID详细信息的潜在欺骗



我可能错过了一些非常愚蠢的东西,也错过了Google Federated Login文档中的内容,但Google OpenID登录对请求网站来说实际上是如何安全的呢?请求网站如何知道来自谷歌的详细信息,而不仅仅是有人在URL中输入查询字符串参数?

为了说明,我正在用PHP实现一个基本的OpenID登录序列,所返回的似乎只是URL中的一组查询字符串参数,我可以使用这些参数来获取OpenID的详细信息,这非常有效。问题是,如果我只是手动在地址栏中输入这些内容,而没有实际登录谷歌,我的请求网站怎么会知道其中的区别?

首先,要求提供详细信息的表格:

<form method='post' action='https://www.google.com/accounts/o8/ud'>
    <input type='hidden' name='openid.return_to' value='http://www.example/com/logged-in' />
    <input type='hidden' name='openid.mode' value='checkid_setup' />
    <input type='hidden' name='openid.ns' value='http://specs.openid.net/auth/2.0' />
    <input type='hidden' name='openid.claimed_id' value='http://specs.openid.net/auth/2.0/identifier_select' />
    <input type='hidden' name='openid.identity' value='http://specs.openid.net/auth/2.0/identifier_select' />
    <input type='hidden' name='openid.ns.ax' value='http://openid.net/srv/ax/1.0' />
    <input type='hidden' name='openid.ax.mode' value='fetch_request' />
    <input type='hidden' name='openid.ax.required' value='email,firstname,lastname' />
    <input type='hidden' name='openid.ax.type.email' value='http://axschema.org/contact/email' />
    <input type='hidden' name='openid.ax.type.firstname' value='http://axschema.org/namePerson/first' />
    <input type='hidden' name='openid.ax.type.lastname' value='http://axschema.org/namePerson/last' />
    <input type='submit' value='Login With Google Account' />
</form>

这很好,把我带着一大堆URL参数送回http://www.example.com/logged-in的请求站点,如下所示(来自PHP print_r调用):

Array
(
    [openid_ns] => http://specs.openid.net/auth/2.0
    [openid_mode] => id_res
    [openid_return_to] => http://www.example.com/logged-in
    [openid_ext1_type_firstname] => http://axschema.org/namePerson/first
    [openid_ext1_value_firstname] => {user's first name}
    [openid_ext1_type_email] => http://axschema.org/contact/email
    [openid_ext1_value_email] => {user's e-mail address}
    [openid_ext1_type_lastname] => http://axschema.org/namePerson/last
    [openid_ext1_value_lastname] => {user's last name}
)

这太棒了,但我怎么知道这实际上是一个合法的请求,而不是有人在地址栏中输入上述参数?

感谢您的帮助,如果已经有人问过我(找不到任何副本!),如果我错过了一些明显的东西,我深表歉意!

在不涉及太多细节的情况下(如果需要血腥的细节,请阅读OpenID规范),OpenID协议对此有适当的保护措施。您收到的断言是经过签名和验证的,并且ID的名称空间有限制,以防止提供者伪造彼此的ID。如果你正在使用一个已建立的库(例如php-openid很好),你不必太担心这一点,因为它通常是在底层处理的。如果您正在尝试推出自己的实现。。。。好吧,只是不要。。。

也就是说,有些没有包含在协议中。例如,当属性在响应中签名时,除非您信任特定的提供者,否则您不能认为它们是准确的。一些应用程序会检查做出断言的提供商的URL/主机名(在验证响应后),并将进行正确电子邮件验证的已知身份提供商列入白名单。如果你需要一封经过验证的电子邮件,这样做可以获得更好的用户体验。但是,如果断言来自未知的身份提供商,请不要认为电子邮件地址实际上属于用户,除非您自己验证拥有该地址。

相关内容

  • 没有找到相关文章

最新更新