我正在查看 janrain python-openid,我在从 OP 到 RP 的通信中看到以下参数 -
1)openid.assoc_handle:{HMAC-SHA1}{50054f83}{NXBefg==}
算法名称后面的两个参数是什么?是关键吗?
2)
openid.sig:eQwD7bcwAyfC9HrwQzEXFIGsKq8=
openid.signed:assoc_handle,claimed_id,identity,mode,ns,ns.sreg,op_endpoint,response_nonce,return_to,signed
上面两个参数是OP返回的签名,以及被签名的字段。RP 现在如何解密签名,我没有看到共享密钥?
3)或者,如果在请求期间共享密钥,那么为什么攻击者不能抓住它并更改响应?
谢谢,穆尔塔萨