问题标签 [openid4java]

我按照以下链接中的指南 https://docs.wso2.com/display/IS500/WSO2+Identity+Server+as+an+OpenID+Provider 我成功地将证书添加到 Java 的 cacerts 但重新启动 Liferay 后我Liferay 收到与未添加证书时相同的错误（“您输入了无效数据。请重试”）。请注意，我没有偏离指南。

我什至尝试连接一个简单的 openid4java 应用程序，但出现以下异常： org.openid4java.discovery.yadis.YadisException: 0x704: I/O transport error: peer not authenticated 这在大多数情况下是由于 SSL 问题带有 Java 证书。

任何想法可能出了什么问题？

我们在代码中使用 OpenID4Java 库。我们如何按照 Google 的建议升级到 OpenID Connect： https ://developers.google.com/accounts/docs/OpenID

根据 [1] Diffie-Hellman 密钥交换受此影响，openID 使用此建立关联。那么这将如何影响 openID 呢？

[1] - http://thenextweb.com/insider/2015/05/20/theres-a-new-problem-with-ssl-called-logjam-heres-what-you-need-to-know/

我是 Spring Boot 新手，我想将 openId 提供程序集成到我们的应用程序中。我已经搜索了很多关于它的内容，但没有找到任何合适的文章可以开始。

问题陈述：

1. 一旦用户点击我们的网站 url（例如 www.abc.com），用户应该被重定向到 openID 提供商的（登录页面）服务器，用户在其中输入用户名和密码或注册他/她自己。
2. 成功认证后，用户就可以访问我们的应用程序，其中应用程序需要检索一些关于用户的信息（基本上是 openID 提供者和应用程序之间的数据交换）。
3. 如何交换密钥以生成共享密钥？

我有 openId 提供者和服务发现端点的端点。

有人会帮我解决这个问题吗？

问题是关于 OpenID Authentication 2.0（https://openid.net/specs/openid-authentication-2_0.html）（不是 OpenID Connect 或其他协议）

当我阅读 openid4java SampleConsumer 的源代码（https://github.com/jbufu/openid4java/blob/master/src/org/openid4java/consumer/SampleConsumer.java）时，我有以下问题。

使用无状态模式时，是否有一种机制来防御攻击？

1. 变相的认证响应有claimed_id=http://evil.example.com/discovery
2. http://evil.example.com/discovery由攻击者管理。端点返回邪恶发现端点
3. http://evil.example.com/discovery使用 op_endpoint=http://evil.example.com/verify 返回发现结果。
4. http://evil.example.com/verify由攻击者管理，并且端点总是返回 is_valid=true。