谷歌 OpenID openid.return_to

Question

如果我理解正确的话，如果用户批准身份验证，Google 会将用户带到 openid.return_to 中指定的位置。这是否意味着 openid.return_to 可能是会员区域的 URL？ Google 是否会创建 cookie 或其他内容来表明用户已通过身份验证？如果不是，我如何判断到达会员区的用户是否确实是通过 OpenID 登录的正版 Google 用户？

Answer 1

返回该网址后，您应该验证它确实来自 Google。然后，如果验证成功，您可以假设用户已登录。否则，用户要么取消了身份验证，发送了虚假断言，要么只是身份验证过程出现了问题。

至于它是会员区的 url - 它可以是任何 url，但它已被访问并不意味着用户已登录。同样，您必须先验证它。

这是一个非常复杂的过程，并且取决于身份验证中的先前步骤，因此除非您想要 阅读规范，最好使用openid库来做那。