代码之家 › 专栏 › 技术社区 › dave mankoff

PAPE如何使OpenID更加安全?

openid security

dave mankoff · 技术社区 · 15 年前

我知道我在阅读提供者身份验证策略扩展规范时遗漏了一些内容:

它告诉我您要求开放ID提供者(OP)执行一些额外的身份验证级别。然后,OP会回复您,告诉您它是否执行了该身份验证。例如,如何防止网络钓鱼?操作不能简单地谎言它做了什么或没有做什么身份验证吗?

1 回复 | 直到 15 年前

Mewp 15 年前

引用您链接的文档中的引言(强调已添加):

同时 依赖方仅使用技术无法验证通过该扩展表达的任何信息。 ,这不限制此扩展的实用程序。OpenID中缺少单一的必需信任模型,这使得依赖方可以使用他们选择的任何标准来决定他们信任的提供者——同样,RPS也将决定是否信任来自此类OpenID提供者的身份验证策略的声明。

PAPE的存在只是为了请求要使用的身份验证方法,而不是为了验证它。
在技术上不可能验证,例如,OP使用物理多因素认证,因此扩展甚至不尝试这样做。

推荐文章

MaSc. H. · 大小与阵列大小

8 月前

David 54321 · 我的密码在pyinstaller.exe中安全吗?

1 年前

Duong Duc Nguyen · 如何检测Windows应用程序(.exe)是否正在向外部发送数据?

1 年前

Michael · 某些Windows客户端上的命名管道安全问题

1 年前

al ice · 具有颤振的鲁棒认证

1 年前

adamency · 是否可以从Go二进制文件的源代码中检索字符串?

1 年前

Tricotou · $.get(code_url)执行返回的代码,不使用eval(),也不将其附加到DOM。jQuery安全性失败?

1 年前

AlboSimo · PayPal Api密钥安全

1 年前

Jordan Regan · 仅在响应中保护HTTP cookie,但不保护请求

1 年前

kellerkindt · 不带查询字符串的Apache2 ProxyPass

1 年前