问题标签 [openid-provider]

我正在完成与 OpenID 的第 3 方的集成。我们已经完成了所有困难的部分，并且一切正常。

这个名为 foo.com 的第 3 方正在为在其站点上登录的用户提供 OpenID 身份验证，但他们正在验证并提供有关他们无法控制的域上的用户的信息。像 gmail.com 这样的域，我公司的域，我确信来自他们登录帐户的任何电子邮件地址的任何其他域。

这符合 OpenID 规范吗？（我找不到文档）在我看来 foo.com 为 bar.com 提供 OpenID 身份验证，其中 foo.com 和 bar.com 不相关，而 bar.com 可能甚至不提供 OpenID 支持，似乎错过了 OpenID 的全部要点：您应该只验证您完全控制其帐户的人的身份。

我想为网站一实现 OAuth/OpenID 并在网站二中使用它。

我为网站一创建注册、登录、注销、个人资料功能/页面，并希望在网站二中使用身份验证，如 Facebook 或 Twitter 身份验证。

作为附加信息，如果您有兴趣可以访问网站一和网站二的试用网站。请不要期望完整或正确的功能，因为正如我上面所说，它们还只是试用版。

PS 我决定使用 OAuth。忘记 OpenID。

Laravel上是否有任何 OpenID 实现？（提供者和消费者）

我想要做的是让一个 CoreApp 充当 OpenID 提供者，而其他应用程序充当 OpenID 消费者，以便用户可以选择：

• 使用 CoreApp OpenID 系统登录
• 使用其他 OpenID 提供商（Google、Facebook、Twitter...）登录
• 创建一个帐户，这意味着用户将被重定向到 CoreApp 以创建另一个帐户，并将使用该帐户作为 OpenID 帐户在他的应用程序上登录。

我看到 oAuth (1 & 2) 也适用于这种用法？任何 Laravel 教程/howto ？

由于 L4 ( Beta1 ) 的 beta 阶段，我想我可以使用 L3 进行生产吗？

我对 Laravel 还很陌生，仍处于RTFM级别:)

通常，用户首先访问客户端站点（如 stackoverflow）并被重定向到 OpenID 提供程序 (OP)，并在身份验证后被重定向回客户端。

想象一下，现在我们有一个充当 OP 的门户。在我登录门户后，它应该显示应用程序的链接。这些应用程序使用 openID 客户端管理登录。是否可以构建到应用程序（openID 客户端）的链接（或重定向标头）？

像这样一步一步来：

1. 新鲜浏览器（旧 cookie 等已删除）
2. 访问 OpenID 提供者
3. 登录到 OpenID 提供者站点。
4. 单击您个人资料中的链接到另一个提供 openID 客户端机制的网站
5. 您无需用户采取任何进一步操作即可立即登录

可能吗？还是我总是必须先访问 openId 客户端才能开始会话或类似的东西？

（如果它不同于 openId v1 和 v2，很高兴听到它）

有谁知道 node.js 中良好的 OpenID 提供程序实现？也许节点模块？

我正在使用 passportjs 来实现中继方功能。

我正在为一组 RESTful Web 应用程序的用户开发一个内部身份验证系统。我们的目的是，用户应该能够通过 Web 表单登录一次，并且可以适当地访问我们域中的所有这些 RESTful 应用程序，这些应用程序可能分布在许多服务器的私有云中。（我已经明白拥有一个经过身份验证的会话与纯 RESTful 方法不一致，但这是一个可用性要求。）

应用程序本身将使用多种编程语言编写，因此需要一种语言中立的方法。有人向我建议我们可以使用 OpenID 或 OAuth 或类似的框架来处理身份验证，但我的理解是这些是用于第三方服务，而不是用于在我们内部系统上共享数据的第一方服务。在这种情况下，我们可能有一个中央提供者服务，所有其他应用程序都被视为第三方（或依赖方）。

问题：

1. OpenID/OAuth 是否适合第一方服务之间的身份验证？
2. 如果是这样，如何建议为此用例设置身份验证？
3. 用户是否不必向他们想要使用的每个第一方服务器授予单独的权限，就像他们需要向任何第三方服务器授予单独的权限一样？我认为这将违反单点登录以访问所有第一方服务的要求。
4. 有支持这种第一方用例的网站的好例子吗？
5. 对于这个第一方用例，什么是好的替代框架？

我们是 OpenId 提供者，我们的团队正在使用目前生产中的 DotNetOpenAuth 3.4 作为底层 OpenId 提供者服务。我们已经实现了 IProviderApplicationStore 接口，并使用数据库表来存储 OpenIdAssociation 和 OpenIdNonce。

现在我们要迁移到 4.2 版，但是这个实现现在使用 IOpenIdApplicationStore 接口。此接口继承 ICryptoStore 接口而不是 IAssociationStore 接口。

有人能告诉我如何将 Provider 代码和 OpenIdAssociation 表迁移到使用 CryptoStore 吗？

还有什么我们应该注意的吗？

.NET 中是否有任何 OpenID Connect Provider 的实现示例？

DotNetOpenAuth 似乎不支持这个标准。

OpenID 2.0 规范很少提及 OpenID 关联请求中会话类型和关联类型之间的关系。我的问题：（1）会话类型“DH-SHA1”和关联类型“HMAC-SHA256”的组合是否有效？(2) 反过来呢，即“DH-SHA256”和“HMAC-SHA1”？

我不认为规范明确禁止这些混合组合，但第 8.2.3 节描述了加密 MAC 密钥以进行传输的过程，如下所示：

这是否意味着会话类型 DH-SHA1 的 MAC 密钥长度必须为 20 字节，会话类型 DH-SHA256 的 MAC 密钥长度必须为 32 字节？规范第 6.2 节规定

这是否意味着 DH-SHA1 必须始终与 HMAC-SHA1 配对，对于 ...256 版本也是如此？

另一个数据点：https ://me.yahoo.com/ 上的 OpenId 提供程序似乎接受会话类型为 DH-SHA1 和关联类型为 HMAC-SHA256 的关联请求，返回一个 20 字节的 MAC 密钥。

我正在编写一个自定义 Open Id 客户端，如下所示

}`

如代码所示，我尝试使用http://localhost:39167/的 OpenIdProvider 是由 DotNetOAuth 示例开发的，即 OpenIdWebRingSsoProvider 和 OpenIdWebRingSsoRelyingParty，并在 RP webconfig 中定义为

我在我的网站上注册 CustomOpenIdClient 为

OAuthWebSecurity.RegisterClient(new CustomOpenIdClient(), "TestOpenId", new Dictionary<string, object>());

现在，当我尝试进行身份验证时，我得到No OpenId End Point found

OAuthWebSecurity.RequestAuthentication(Provider, ReturnUrl)

本地主机已在 RP 的 webconfig 中的白名单中定义。请让我知道我在这里缺少什么导致此 No OpenId End point 错误？

谢谢，
某人