OpenID Поддельный запрос на return_to url

Question

После openID checkid_setup провайдер перенаправляет на return_to с набором GET параметров. Это может быть также сообщение, я не уверен, однако Google возвращает все GET. В любом случае это не имеет значения.

Что если кто-то сделает поддельный запрос на return_to?

Сейчас я планировал добавить соленый хеш assoc_handle с return_to url
Есть ли лучший способ?

(я делаю только шаги associate, а затем checkid_setup я пропускаю какие-либо дополнительные шаги для соответствия другим службам или даже с Google? Хотя я получаю identity и claimed_id с моим существующий процесс)

Answer 1

Спецификация покрывает это - http://openid.net/specs/openid-authentication-2_0.html#verification

Если вы используете PHP как в вопросительном теге, просто используйте библиотеку php-openid. Он правильно проверяет утверждения и был хорошо проверен и протестирован.

Если вы просто из любопытства просите лучше понять OpenID, отлично. Но, пожалуйста, , а не , попробуйте реализовать собственную библиотеку проверяющей стороны, если вы не уверены, что можете сделать это правильно и не создавать уязвимости. Трудно понять и очень легко ошибиться:)