我的要求之一是为一组站点实现单点登录。无需像往常一样支持 Open ID,也无需成为 Open ID 提供程序。但是,我考虑在内部使用 Open ID。我的问题是:
- 如果我的 Open ID 提供商仅限于受信任的域列表,身份验证体验将对用户透明(除了少数重定向到提供商子域并返回和位不同的表单设计)?
- 由于提供商不是公开的(要检查重定向的域列表),因此不会引入新的攻击面吗?
- 如果其中一个站点具有桌面应用程序,则应用程序应直接与提供商通信还是通过站点的外观与提供商通信?
找到了类似的问题,这很有用,但并没有真正回答我的问题。
1)是的,体验可以相似,但不是无缝的。例如,您可能无法在网站上使用用户名/密码登录框。
2)提供者必须可由客户(而不仅仅是中继方)访问。因此,这取决于您的客户是内部客户还是互联网客户。
3)这实际上取决于应用程序是否可以执行OpenID。另请参阅(1),应用程序是否可以处理提供程序网页的打开?