OpenID：为什么在 cookie 中存储声明的 ID 是安全的？

Question

我刚刚开始在我的网站中集成 OpenID。我看到的所有示例都将声明的 ID 存储在 cookie 中。如何安全？

例如，myopenid.com 返回的已声明 ID 为 {username}.myopenid.com

因此，如果黑客知道您已声明的 ID，他就可以轻松破解您的帐户。

当然，您在将 ID 放入 cookie 并用于身份验证之前对其进行加密/md5，但这就像存储没有密码的用户名一样！

更新

现在我想得更多了，我意识到，你需要登录OpenID提供商，所以即使黑客获得了用户名，他仍然需要提供商的密码才能登录。Am我说得对吗？

更新2 不，更新 1 不正确:) 我的网站无法检查用户是否成功登录。我收到的只是所声明的 ID，我只需相信用户已通过身份验证。这真是令人困惑...

Answer 1

知道用户声称的身份不足以进行身份​​验证。

事实上，用户必须登录其提供商，才能使用该身份向您的网站进行身份验证。

至于“相信用户已经过身份验证”——不，你不信任。作为 OpenID 身份验证的最后一部分，您应该验证身份验证消息是否来自提供商。有各种安全措施来确保消息是真实的、未被更改的等。
如果您这样做，您就可以确定您的用户已通过提供商的正确身份验证。

现在，由于您不想每次用户发出请求时都执行此操作，因此您将会话信息存储在 cookie 中。然而，您不仅仅存储所声明的标识符（如果您决定存储它），而是存储一个会话 ID——用户登录时生成的一个伪随机数。由于它是伪随机的，所以没人能猜到它，因此，了解所声明的标识符本身并没有任何意义。

如果这回答了您的问题，请阅读您最喜欢的语言/框架中的会话管理，因为它将告诉您如何轻松实现这种机制及其工作原理。

总之：将 OpenID 视为密码验证的替代品。您不需要（也不应该）在 cookie 中存储登录名和密码，也不必存储声明的标识符。同样，您不必每次都验证登录名和密码是否匹配，但请记住用户在会话中进行了身份验证。