Question

Я реализовал прямую поддержку OpenID для моего приложения ASP.NET с DotNetOpenAuth . Тем не менее, я недавно понял, что реализация трактует http://johndoe.example.com/ как отдельного пользователя по сравнению с https://johndoe.example.com.

Это приводит к довольно запутанным пользователям. Я не уверен, что делать на этом этапе. Это ошибка или особенность?

Действительно, я могу рассматривать это поведение как особенность: если пользователь указывает HTTPS, он может не захотеть, чтобы система в первую очередь принимала HTTP-аутентификацию.

С другой стороны: если пользователь указывает HTTPS из-за полной невежественности (случайный веб-посетитель не имеет представления о цели части «S»), то отклонение попытки аутентификации сбивает с толку.

Что считается лучшей практикой?

weblivz · Answer 1 · 06 апреля 2010

Да - они совершенно разные и должны рассматриваться как таковые.

Рекомендации для OP - всегда использовать https, но это не всегда так (только сейчас).

Rinat Abdullin · Answer 2 · 06 апреля 2010

Теоретически http и https идентичности могут быть разными. Практически (как это реализовано провайдерами в реальном мире) их не должно быть.

StackOverflow не различает между http://abdullin.myopenid.com и https://abdullin.myopenid.com,, поэтому решение, вероятно, должно работать для сценариев 99%.

Должен ли я различать OpenID по префиксу протокола или нет? http против https

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Должен ли я различать OpenID по префиксу протокола или нет? http против https

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы