如何让 AOL 的 OpenID 站点验证发挥作用？

Question

我有一个 OpenID 依赖方设置并使用 XRDS。它通过了 http://test-id.org/ 上的“RP 有可发现的 return_to”互操作测试RP/DiscoverableReturnTo.aspx。

雅虎不再抱怨“警告：该网站尚未与雅虎确认其身份，可能存在欺诈行为。”正如 Andrew Arnott 的优秀博客文章中所述： http: //blog.nerdbank.net/2008/06/why-yahoo-says-your-openid-site.html

但是，当我尝试使用 AOL 进行身份验证时，我看到“警告！站点验证无法完成” ”。信息。

Answer 1

验证 return_to 值时，AOL 不支持 RFC 4366 TLS“服务器名称指示”(SNI) 扩展，该扩展允许同一 IP 地址上有多个 SSL 证书。如果您的服务器如此配置，AOL 将仅看到该 IP 地址的默认证书。如果它与依赖网站的证书不匹配，AOL 将（错误地）报告错误。

即这是一个 AOL 错误。

Answer 2

经过 3 个小时的工作，我满意了 AOL 验证。以下是您需要确保的内容（假设您满足 openid 2.0 规范）。

Aol 正在发出 http Head 请求，因此请确保您的领域页面正在接受 Http Head 请求。我认为这就是最大的错误，因为我们从来不检查 Http Head。

Aol http head 请求是非常裸露的，因此请确保您的服务返回响应是裸露的请求。 即。在我们的例子中，当请求中没有代理信息时，代码也会失败。

您很可能会遇到上述情况的问题。

Answer 3

也许这只是 AOL 的缓存响应，明天它就会消失。只是一个想法。您已经完成的 test-id.org 测试和 Yahoo 测试应该表明您做得正确。

如果 AOL 要求您遵守其他人没有的新要求，请告诉我们。