как проверить отклик google openid

Question

Я пытаюсь добавить авторизацию throw google openid своим пользователям. Я получаю идентификатор (https://www.google.com/accounts/o8/id?id=AIt...Ew-Bo), но как я могу проверить, что он действителен. Я имею в виду, что пользователь может создать вредоносный запрос по электронной почте другого пользователя, как я могу проверить, что возвращаемое письмо и заявленный идентификатор действительны?

Answer 1

Вместо того, чтобы пытаться реализовать обнаружение и проверку подписи самостоятельно, вам действительно следует использовать одну из многих библиотек, которые уже были созданы для этой цели. Вот несколько разных языков программирования:

http://openid.net/developers/libraries/

Answer 2

public function verify_response()
       {$params=$_REQUEST;
        $query=array('openid.signed'=>$params['openid.signed'],
                     'openid.sig'=>$params['openid.sig'],
                     'openid.mode'=>'check_authentication'
                    );
        $keys=explode(',', 'openid.'.strtr($params['openid.signed'], array(','=>',openid.')));
        foreach ($params as $k=>$v)
                {if (in_array($k, $keys))
                    {$query[$k]=$v;
                    }
                }
        $query=http_build_query($query);
        $response=file_get_contents($params['openid.op_endpoint'].'?'.$query);
        return stripos($response, 'is_valid:true')!==false;
       }

Answer 3

function ValidateWithServer(){
    $params = array(
        'openid.assoc_handle' => urlencode($_REQUEST['openid_assoc_handle']),
        'openid.signed' => urlencode($_REQUEST['openid_signed']),
        'openid.sig' => urlencode($_REQUEST['openid_sig'])
    );
    // Send only required parameters to confirm validity
    $arr_signed = explode(",",str_replace('sreg.','sreg_',$_REQUEST['openid_signed']));
    for ($i=0; $i<count($arr_signed); $i++){
        $s = str_replace('sreg_','sreg.', $arr_signed[$i]);
        $c = $_REQUEST['openid_' . $arr_signed[$i]];
        // if ($c != ""){
            $params['openid.' . $s] = urlencode($c);
        // }
    }
    $params['openid.mode'] = "check_authentication";

    $openid_server = $this->GetOpenIDServer();
    if ($openid_server == false){
        return false;
    }
    $response = $this->CURL_Request($openid_server,'POST',$params);
    $data = $this->splitResponse($response);

    if ($data['is_valid'] == "true") {
        return true;
    }else{
        return false;
    }
}

Answer 4

Google OpenID (за исключением OpenID Google Apps для доменов) является просто стандартным OpenID. Вы должны принять все меры предосторожности, которые требуются для любого другого OpenID, чтобы убедиться в правильности утверждения. Вы правы ... любой может создать положительное утверждение OpenID, чтобы обмануть ваш RP, если только ваш RP не проверяет подпись, не выполняет обнаружение идентификатора и не сопоставляет авторизованную конечную точку OP для этого идентификатора с той, которая подписала ответ.

Что касается того, можете ли вы доверять адресу электронной почты, решать только вам. Вы можете доверять конечной точке Google OP, и тогда вы знаете.