0

问题是关于 OpenID Authentication 2.0(https://openid.net/specs/openid-authentication-2_0.html)(不是 OpenID Connect 或其他协议)

当我阅读 openid4java SampleConsumer 的源代码(https://github.com/jbufu/openid4java/blob/master/src/org/openid4java/consumer/SampleConsumer.java)时,我有以下问题。

使用无状态模式时,是否有一种机制来防御攻击?

  1. 变相的认证响应有claimed_id=http://evil.example.com/discovery
  2. http://evil.example.com/discovery由攻击者管理。端点返回邪恶发现端点
  3. http://evil.example.com/discovery使用 op_endpoint=http://evil.example.com/verify 返回发现结果。
  4. http://evil.example.com/verify由攻击者管理,并且端点总是返回 is_valid=true。
4

0 回答 0