openid - OpenID 安全性：RP 不确保身份验证得到实际提供者的批准

Question

一般说明

我使用DotNetOpenAuth实现了一个 OP（OpenID 提供程序）。我正在针对示例 RP（依赖方）对其进行测试，例如 Drupal 的 OpenID 登录和OpenIdRelyingPartyWebFormsDotNetOpenAuthSamples解决方案中的项目。

问题是，据我所知，当浏览器反弹我的 OP 并向 RP 发送“成功的身份验证”请求（mode: id_res,claimed_id: smth等）时，RP 不会尝试执行服务器端向 OP 发出请求并询问它是否确实对用户进行了身份验证。我可以看到openid.sigOP 返回了一个签名，但同样，我看不出 RP 如何验证它，因为它没有与 OP 交换密钥。

所以问题是：在 OP 方面是否有一些设置可以使工作流程安全？

技术细节

我正在使用 Wireshark 来嗅探 RP 端的 HTTP 流量。没有 HTTPS，所以我可以查看和阅读所有消息。下面你可以看到究竟发生了什么。B = 浏览器，OP = OpenID 提供者，RP = 依赖方。域名替换为 *.example.com。

(B –> RP)用户尝试访问依赖方上的仅限成员的资源。他输入浏览器发布到 RP 的 OP 端点。

openid_identifier： http://OP.example.com/OpenId/Provider.aspx? xrds

(RP –> OP –> RP) RP 向我的 OP 发出一个服务器端请求，该请求返回一个 XRDS 文档。我在这里看不到任何类似于密钥交换的东西。

<?xml version="1.0" encoding="UTF-8"?>
<xrds:XRDS
    xmlns:xrds="xri://$xrds"
    xmlns:openid="http://openid.net/xmlns/1.0"
    xmlns="xri://$xrd*($v*2.0)">
    <XRD>
        <Service priority="10">
            <Type>http://specs.openid.net/auth/2.0/server</Type>
            <Type>http://openid.net/extensions/sreg/1.1</Type>
            <URI>http://OP.example.com/OpenId/Provider.aspx</URI>
        </Service>
    </XRD>
</xrds:XRDS>

(RP –> B –> OP)依赖方 302-将用户重定向到 OP 的/OpenId/Provider.aspx?[params]URL，其中参数如下：

openid.claimed_id: http://specs.openid.net/auth/2.0/identifier_select
openid.identity: http://specs.openid.net/auth/2.0/identifier_select
openid.assoc_handle: {634730422000625000}{jkQC1Q==}{32}
openid.return_to: http://RP.example.com/login.aspx?ReturnUrl=%2FMembersOnly%2FDefault.aspx&dnoa.receiver=ctl00_Main_OpenIdLogin1&dnoa.UsePersistentCookie=Session&dnoa.userSuppliedIdentifier=http%3A%2F%2FOP.example.com%2FOpenId%2FProvider.aspx%3Fxrds
openid.realm: http://RP.example.com/
openid.mode: checkid_setup
openid.ns: http://specs.openid.net/auth/2.0
openid.ns.sreg: http://openid.net/extensions/sreg/1.1
openid.sreg.policy_url: http://RP.example.com/PrivacyPolicy.aspx
openid.sreg.required: email,gender,postcode,timezone

(OP –> B –> RP) Provider 对用户进行身份验证，并使用以下 URL 参数 302 将他重定向回 RP：

ReturnUrl: /MembersOnly/Default.aspx
dnoa.receiver: ctl00_Main_OpenIdLogin1
dnoa.UsePersistentCookie: Session
dnoa.userSuppliedIdentifier: http://OP.example.com/OpenId/Provider.aspx?xrds
openid.claimed_id: http://OP.example.com/OpenId/User.aspx/2925
openid.identity: http://OP.example.com/OpenId/User.aspx/2925
openid.sig: pWJ0ugjQATKGgRSW740bml9LDsSxFiJ+a9OLO6NlsvY=
openid.signed: claimed_id,identity,assoc_handle,op_endpoint,return_to,response_nonce,ns.sreg,sreg.nickname,sreg.email
openid.assoc_handle: {634730422000625000}{jkQC1Q==}{32}
openid.op_endpoint: http://OP.example.com/OpenId/Provider.aspx
openid.return_to: http://RP.example.com/login.aspx?ReturnUrl=%2FMembersOnly%2FDefault.aspx&dnoa.receiver=ctl00_Main_OpenIdLogin1&dnoa.UsePersistentCookie=Session&dnoa.userSuppliedIdentifier=http%3A%2F%2FOP.example.com%2FOpenId%2FProvider.aspx%3Fxrds
openid.response_nonce: 2012-05-19T16:40:11ZSfsL4BK1
openid.mode: id_res
openid.ns: http://specs.openid.net/auth/2.0
openid.ns.sreg: http://openid.net/extensions/sreg/1.1
openid.sreg.nickname: user@OP.example.com
openid.sreg.email: user@OP.example.com

(RP –> OP) RP 向 OP 执行服务器端 HTTP 请求。没有数据传输，只是对先前获取的用户身份 URL 的 GET 请求。顺便说一句，它为什么会提出这个要求？
```
GET /OpenId/User.aspx/2925 HTTP/1.1
```

(OP –> RP) OP 回复另一个 XRDS 文档：

<xrds:XRDS
    xmlns:xrds="xri://$xrds"
    xmlns:openid="http://openid.net/xmlns/1.0"
    xmlns="xri://$xrd*($v*2.0)">
    <XRD>
        <Service priority="10">
            <Type>http://specs.openid.net/auth/2.0/signon</Type>
            <Type>http://openid.net/extensions/sreg/1.1</Type>
            <URI>http://OP.example.com/OpenId/Provider.aspx</URI>
        </Service>
        <Service priority="20">
            <Type>http://openid.net/signon/1.0</Type>
            <Type>http://openid.net/extensions/sreg/1.1</Type>
            <URI>http://OP.example.com/OpenId/Provider.aspx</URI>
        </Service>
    </XRD>
</xrds:XRDS>

（RP -> B）就是这样。用户已获得授权，RP 向他显示仅限成员的资源。

score 2 · Accepted Answer

RP 可以在有状态或无状态模式下运行（也分别称为智能模式和哑模式）。查看每个.

RP 和 OP 之间存在一次性密钥交换，前提是 RP 在有状态模式下运行。如果在无状态模式下，您将在每次身份验证后看到从 RP 到 OP 的消息，以验证断言的签名。

关于您在 #5 上的问题（对声明的标识符的 HTTP HEAD 请求），这是 DotNetOpenAuth RP 检查 OP 对于它所断言的身份是否具有权威性。由于它之前已提取此 URL，因此缓存会启动并避免内容传输。

score 0 · Accepted Answer

我现在感觉很愚蠢，我错过了一些基本的东西——RP 和 OP 之间有一个密钥交换，但它只发生一次，然后密钥在双方缓存了一段时间。

所以我对 OpenID 提供者的实现结果证明是安全的 :)

openid - OpenID 安全性：RP 不确保身份验证得到实际提供者的批准

一般说明

技术细节

2 回答 2

Related

Reference