【发布时间】:2011-01-14 17:17:24
【问题描述】:
例如,我的服务器的openid登录过程重定向到google,然后google重定向回参数字符串中带有参数的页面。如何验证这确实来自谷歌?
【问题讨论】:
例如,我的服务器的openid登录过程重定向到google,然后google重定向回参数字符串中带有参数的页面。如何验证这确实来自谷歌?
【问题讨论】:
这些参数可能包含 OpenID 断言(或错误)。您可以按照 OpenID 规范中的说明验证断言:
http://openid.net/specs/openid-authentication-2_0.html#verification
不过,您可能不想自己完成所有工作,因为这有点复杂。用于 python 的 Janrain OpenID 库可以在一定程度上简化该过程:
http://www.janrain.com/openid-enabled
为了让事情变得更简单,请为您的 Web 框架找到一个 OpenID 插件。这是Flask的一个:
【讨论】: