AuthenticationRequestMode.Immediate 和 AuthenticationStatus.SetupRequired

Question

我正在使用 DotNetOpenAuth 构建依赖方。到目前为止，一切都进行得相当顺利，但我有点坚持一件事；我不太确定在从存储的声明标识符立即执行检查后如何处理 AuthenticationStatus.SetupRequired 情况。

我将访问者声明的标识符存储在 cookie 中，如果他们未经身份验证就返回给我，但使用此 cookie，我会立即执行身份验证请求（因为我认为这是我应该做的）来检查OP 想到了我从访客那里获得的这个标识符。

似乎返回请求中返回的所有内容都是 State = SetupRequired...这是否意味着 OP 说“你很好...继续做你需要做的事情来保留这个claimed_identifier去”？或者当这种情况发生时我应该做点别的事情吗？

此外，当我立即向雅虎发出请求时，似乎会发生这种情况，但当我向谷歌发出相同的请求时，却不会发生这种情况。

什么给？

谢谢， 安德鲁

Answer 1

当您发送“立即”请求时，您是在询问 OP 是否愿意并且能够声明给定用户仍然登录到 OP。并非所有 OP 都支持此请求。那些不支持它的人和那些支持它但无法肯定响应的人（例如因为用户未登录）将 setup_required 返回给 RP。

在 RP 处，获取 SetupRequired 作为响应意味着“我并不是说用户是否已登录 - 您必须尝试使用​​ checkid_setup 再次进行身份验证”（这意味着在不使用立即模式的情况下重试。）

立即模式和立即模式之间的主要区别模式和“设置”模式的区别在于，在立即模式下，OP 根本不应该向用户呈现任何 UI——整个过程应该看起来像是对用户的重定向。在设置模式（即常规模式）下，OP 可以显示登录 UI 和/或“您确定要登录 [RP] 吗？”迅速的。如果 OP 需要显示此 UI，但由于是立即模式而无法显示，那么它唯一可以响应的是 setup_required。