【问题标题】:Compliance test for OpenID providersOpenID 提供者的合规性测试
【发布时间】:2009-05-03 00:02:29
【问题描述】:

OpenID 提供者有哪些自动化标准一致性测试

我正在更改 OpenID 提供程序的实现,将其从标准的 1.1 版升级到 2.0 版。

在发布代码之前,我想确保它符合标准的规范。为了测试 Web 标准合规性,W3C 提供了验证器工具。有哪些工具可以让我将自动化测试人员指向我的 OpenID 提供商并获得符合标准的报告?

【问题讨论】:

  • 自动化最难的部分是过期检查以及您需要浏览器输入进行测试的事实,因此您需要编写一个 selenium 脚本来执行登录过程。我有点用 Heroku 做了一个,但那是为了测试我的 OpenID 客户端。您可能可以对其进行改造以进行自己的测试。

标签: testing openid protocols standards


【解决方案1】:

您可以查看http://test-id.net/,它有一组用 .net 编写的测试。

【讨论】:

  • 这是一组由 OSIS 赞助的互操作性、安全性和规范实施测试,适用于任何 RP 或 OP——无论它是基于 .NET 还是其他平台构建的。
【解决方案2】:

据我所知,没有一致性测试(至少官方批准)——即使是 1.1。当然,它的价值将非常高。 oAuth 也是如此——它们都是复杂的协议,有时规范并不能涵盖所有内容。

您现在可能唯一能做的就是在本地进行全面的单元测试覆盖。

【讨论】:

  • 这不准确[不再]。 test-id.org 有一些由 OSIS 和 OpenID 板赞助的测试。
  • @Andrew 现在 test-id.org 返回“服务不可用”
【解决方案3】:

只有 1.1 才有这个东西:http://openidenabled.com/resources/openid-test/diagnose-server/

我们从未将其升级为 2.0。每年有一两次有人过来说“嘿,我们应该有更好的测试工具”,但据我(和其他人,从这里的回答来看)所知,这些努力都没有结果。

编辑添加:另一个相关项目在http://code.google.com/p/openid-test/

【讨论】:

  • 看起来不错。是免费软件吗?如果有,源代码在哪里?
  • 我认为我们在某个时候发布了代码,但我不确定它现在在哪里。而且,坦率地说,虽然我通常不鼓励人们从头开始,但在这种情况下这可能是一个好主意。服务器从未升级的部分原因是它严重依赖 v1 python OpenID 库的内部实现细节,因此随着库的发展和升级,它无法维护。
【解决方案4】:

OSIS 有 interoperability testsfeature tests for IPsfeature tests for RPs

但是这些不是自动化的,每个人都聚集在一个 RSA 会议上,并检查他们是否能相互配合。

【讨论】:

  • 谢谢。这只是现有测试的报告,并没有说明开发 OpenID 提供程序的人如何应用相同的测试。
【解决方案5】:

如果有人偶然发现此线程,OpenID Connect 现在有一个官方一致性测试套件,它是认证过程的一部分:

https://openid.net/certification/testing/

享受吧!

【讨论】:

    【解决方案6】:

    到目前为止,据我所知,没有任何工具可以报告符合标准的情况。如果你真的想确保你的代码符合 2.0,你应该聘请一些独立的顾问来审查你对 openID 2.0 的每个功能的单元测试。当然,他们也应该进行自己的测试。顾问必须具有一般审计经验,例如 PCI DSS 等。他们有丰富的经验来检查规范并测试您的应用程序库和数据库。

    【讨论】:

    • 如果我的问题是关于 ISO 9001 合规性之类的问题,您的建议似乎更合适,但事实并非如此。机器对机器协议(如 OpenID)的开放、相当简短的标准规范是自动化测试的目标,如 W3C 验证器工具。
    猜你喜欢
    • 1970-01-01
    • 2012-04-26
    • 2018-07-21
    • 1970-01-01
    • 2020-11-20
    • 2012-05-16
    • 2014-04-25
    • 1970-01-01
    • 2015-02-05
    相关资源
    最近更新 更多