我刚刚开始在我的网站中集成 OpenID。我看到的所有示例都将声明的 ID 存储在 cookie 中。它如何安全?
例如,myopenid.com 返回声明的 ID,即 {username}.myopenid.com
因此,如果黑客知道您声称的 ID,他可以轻松破解您的帐户。
当然,您在将 ID 放入 cookie 并用于身份验证之前对 ID 进行加密/md5,但这就像存储没有密码的用户名一样!
更新
现在我想了想,我意识到,你需要登录 OpenID 提供者,所以即使黑客得到了用户名,他仍然需要提供者的密码才能登录。我说的对吗?
更新 2 不,更新 1 不正确 :) 我的网站无法检查用户是否成功登录。我收到的只是声称的 ID,我只需要相信用户已经过身份验证。这真是令人费解……