Openid 通过谷歌登录，不登录谷歌

出于好奇，当我通过OpenID或类似网站（谷歌、Facebook等）登录StackOverflow这样的网站时，我也会登录到身份提供商本身（例如谷歌）

有没有一种方法可以让用户使用第三方身份登录到我的站点，而不必登录到该身份本身

---

我知道，通过使用谷歌登录，谷歌登录的工作方式与其他登录方式不同。我对所有流行的登录服务（谷歌、Facebook、Twitter等）的一般答案感兴趣，无论它们是基于OpenID（2.0）、OAuth还是基于专有解决方案，例如：“使用OpenID，如果你这样做，它就可以工作。对于谷歌来说，这是不可能的，因为技术原因。”

OpenID/OAuth是一个通用的“协议”这允许站点（例如stackoverflow）驻留在身份提供程序（例如Google）上进行身份验证。这包括以下交易：

您告诉stackoverflow您将使用goole登录

stackoverflow将发送到Google，通过重定向url进行身份验证

谷歌将对你进行身份验证，有效地将你登录到他们的服务中（以便知道你就是你）

谷歌（和任何其他身份提供商）应该询问您是否希望将您的电子邮件和其他信息发送到stackoverflow

如果您同意谷歌将此信息发送给消费者（stackoverflow）

从这一点上讲，授权消费者（例如stackoverflow）可以接受此信息（您的电子邮件）为有效信息

任何未通过ID提供商登录的方案（第3步），都会将您的凭据暴露给（可能）不受信任的第三方（您是否希望stackoverflow提供您的google密码？）

步骤3还将在您的计算机上安装一个cookie，其中包含您与Google的会话。这是由谷歌（或任何ID提供程序）来考虑这个会话对所有其他用途（Gmail等）有效的，但它还是一个方便的特性无论如何

---

如果您已经与Google建立了会话，则可能不需要您再次登录。

您描述的行为是可能的（并且IDP可以轻松实现），但由于多种原因不可取

它培训用户进行网络钓鱼。因为在点击“登录”后，用户应该输入id和pw，所以可以很容易地显示登录页面，用户将输入他们的信息

当然，这对用户来说并不方便

从风险和pw破解的角度来看，最好在用户登录时进行大量“检查”，可能需要额外检查（如ping电话或提问），然后创建登录会话

---

我理解用户不应该作为副作用登录IDP的愿望，如果您正在编写IDP代码或在用户返回您的站点时提醒用户注销IDP，您可以轻松实现这一愿望。

当然，这就是通过OAuth（OpenID connect）登录的工作方式。但我想知道是否存在这样一种情况：身份验证服务器（如谷歌）执行身份验证，向消费者（如SO）提供确认，然后在消费者网站上设置cookie，但没有对身份验证服务器执行实际登录。e、 g.您没有登录GMail。这似乎不可能通过OAuth实现（因为您必须登录，这样它才能将令牌分发给消费者）。但我认为这可能与OpenID2.0、Persona或其他东西有关。我不知道Persona，但无论如何，该网站说Persona.org服务正在关闭。该服务将在2016年11月30日后不可用。更多信息。。。OpenID与OAuth的工作方式相同。ID提供商需要验证您的身份，这意味着登录。网站也不可能为不同的域设置cookie“ID提供商需要验证您的身份，这意味着登录。”我认为输入您的凭据和实际打开会话之间存在差异。我的意思是：你点击第三方网站“用X登录”。您将被重定向到X，输入您的凭据，X确认您的身份，并使用确认您的身份和电子邮件地址的令牌将您重定向回Y。Y可以为自己设置cookie并打开会话。所有这些系统都是这样工作的。现在，X可以选择丢弃这些信息，也可以选择打开mail.X.com、calendar.X.com等的会话。。