Openid 像StackOverflow这样的网站如何防止以分散的方式基于未经验证的电子邮件地址链接帐户?
未验证OpenID协议的电子邮件地址 考虑以下情况:Openid 像StackOverflow这样的网站如何防止以分散的方式基于未经验证的电子邮件地址链接帐户?,openid,Openid,未验证OpenID协议的电子邮件地址 考虑以下情况: 我使用Gmail帐户创建了一个SO帐户,我的电子邮件是abc@gmail.com 现在,另一个家伙有办法在某个OpenID提供商处伪造,该提供商也在使用abc@gmail.com,并使用此提供程序登录到SO 现在,SO将连接这两种登录方法,这家伙可以完全访问我的SO帐户 因此,在实践中,如何最大限度地降低上述黑客行为的风险?对于您的场景,您要做几个假设: 中继方(在您的示例中也是如此)不验证提供者,只通过标识符(即电子邮件)标识用户 中继方
因此,在实践中,如何最大限度地降低上述黑客行为的风险?对于您的场景,您要做几个假设:
- 中继方(在您的示例中也是如此)不验证提供者,只通过标识符(即电子邮件)标识用户
- 中继方信任任何提供方提供身份验证(例如假OpenID提供方)
- 用户的OpenID至少应为(提供商+电子邮件)
- 这与OpenID的想法背道而驰,但只与受信任的提供者(而不是任何人)进行中继
- 中继方应使用nonce
- RP/OP之间的ssl