Janrain的PHP OpenID库的PHP实现和LightOpenID有什么区别?
一个比另一个更安全吗?
根据谷歌的最佳实践页面:
正确的 OpenID 实现必须:
加密签名的封面检查
检查随机数
亚迪斯发现
我猜Janrain的库确实满足了Google推荐的所有这些要求,但LightOpenID是否满足1和2。
LightOpenID使用协议的无状态版本,使其比Janrain的库简单得多。
无状态版本将验证(与加密、随机数等相关的任何内容)委托给提供程序,因此 LightOpenID 不会自行检查。但是,它确实遵循规范,因此这不是安全问题。