3

Janrain 的 PHP OpenID库的 PHP 实现与LightOpenID有什么区别。

一个比另一个更安全吗?

根据谷歌的最佳实践页面

正确的 OpenID 实现必须:

  1. 加密签名的封面检查

  2. 随机数检查

  3. 雅迪斯发现

我猜 Janrain 的库确实满足了 Google 推荐的所有这些要求,但 LightOpenID 是否满足 1 和 2。

4

1 回答 1

5

LightOpenID 使用无状态版本的协议,比 Janrain 的库简单很多。

无状态版本将验证(与密码学、随机数等相关的任何内容)委托给提供者,因此 LightOpenID 不会自行检查。但是,它确实遵循该规范,因此这不是安全问题。

于 2012-04-24T06:21:36.270 回答