本文介绍了OpenID认证的基本概念及工作流程,解释了OpenID中的关键角色如OP、RP和UA之间的交互过程。同时讨论了安全性问题以及作者对于成为RP而非OP的观点。
前段时间,公司某些同学对OpenID进行了预研,偶也去参加了预研结果报告会,算是初次比较完整的接触OpenID;
首先来看看OpenID规范文档中的介绍:
OpenID 认证提供了一种方式,可以让用户证明自己对某个 Identifier 拥有控制权。 它不需要 Relying Party 去访问用户的凭据比如密码或者其他的敏感信息比如电子邮件地址等。
OpenID 是分散的。不需要一个中央官方机构批准或注册 Relying Parties 或 OpenID Providers。 最终用户可以自由地选择使用哪个 OpenID Provider,并能在他们更换 OpenID Providers 时维护自己的 Identifier。
OpenID 认证仅仅使用标准的 HTTP(S) 请求和响应, 因此它不需要 User-Agent 具有特殊能力或者其他客户端软件。 OpenID 不和 cookies 的使用或者 Relying Party 的其他任何具体机制或 OpenID Provider 的会话管理挂钩。 虽然使用该协议没有必要扩展 User-Agents,但可以简化用户操作。
用户信息或者其他信息的交换不包括在该规范中,在此协议上附加协议形成一个框架可解决此问题。 OpenID 认证的目的是提供一个基础服务,使它能在自由和分散的方式下携带用户数字标识。
介绍中涉及到了很多名词,比如Relying Parties,这些都代表什么意思呢,下面就介绍下OpenID中最重要的三种角色:
OP【OpenID Provider】: OpenID提供者,提供对用户鉴权功能
RP【Relying Party】: 依赖方,直接服务提供者,需要信任OP鉴权的结果
UA【User Agent】:终端用户,想使用RP服务的用户
三者间的关系就是:让UA在OP登陆,并使用RP提供的服务;
UA和OP/RP交互的时序图如下:
O
OP和RP在初次交互的过程中,需要建立一种关联关系Association,这就涉及到安全性的问题,OpenID规范中指出,在Association会话建立过程中,采用了 Diffie-Hellman密钥一致协议 来保证会话的安全性,主要有"no-encryption"、"DH-SHA1"和"DH-SHA256"三种类型,注意第一种类型只能在https传输协议下才能选择;
而在双方互相信任之后,则采用更为简单和快速的HMAC-SHA算法来进行签名,有"HMAC-SHA1"和"HMAC-SHA256"两种选择;需要注意的是在选择两类算法时两者的长度需要保持一致;
在讨论过程中,大家都提到一个问题,到底我们想做RP还是OP?
当时大多数的同学都认为我们当然要做OP,因为在未来的互联网世界里,你是OP就说明你掌握了大量的用户资源,这些用户想去各个RP享受服务都必须得到OP处登陆,这样也就直接控制了RP的用户来源!
但是我个人倒觉得,我们目前还是做RP好,也更加现实;原因有二,其一:我们目前没有自己独立的用户群体,我们的所有用户都是来自淘宝、中文站、阿里妈妈、口碑、雅虎等,现在就因为我们搞了个自己的登陆页面,已经被他们JJYY啦;其二:做RP能从各个OP处吸纳用户,在发展期这是至关重要的,要通过多种渠道提升用户数;而当用户真的爱上RP的服务时,此时OP已经蜕变成只剩下一个登陆的壳了,纯粹是在为RP服务了,呵呵!
PS:OpenID认证2.0官方文档地址:http://www.openid.net.cn/specs/openid-authentication-2_0-zh_CN.html
OpenID4JAVA:http://code.google.com/p/openid4java/
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
