2

我在我的应用程序中使用 openid 2.0。我需要将 openid 标识符值保存在 DB 中以验证用户。我也可以保存电子邮件,但保存claimidentifier 似乎也是一个好方法。

为什么使用 ClaimedIdentifier 而不是 FriendlyIdentifier 存储在数据库中是安全的?它会有什么不同?

我在我的应用程序中获得了这两个值,但是许多帖子说由于安全问题而避免使用 FriendlyIdentifier。ClaimedIdentifier 可以克服哪些 FriendlyIdentifier 无法克服的安全问题?

4

1 回答 1

1

也想出了这一点-如果有人复制了 intuit openid url 格式并传递了一些脚本值,则截断 openid 友好标识符并在 db 中保存随机字符串可能会导致一些脚本问题。最好保存完整的唯一声明标识符值(https),然后获取并截断它以匹配用户。

于 2013-07-31T10:15:05.427 回答