《203编号OpenID在跨域安全交换中的应用》由会员分享,可在线阅读,更多相关《203编号OpenID在跨域安全交换中的应用(2页珍藏版)》请在金锄头文库上搜索。
1、一种跨安全域安全交换平台的实现 文档中指出, 该平台借鉴开放的分布式身份验证 系统 OpenID 的主要思想来进行身份验证,也就是说不直接采用 OpenID 的方法来实现。文 档中说 : 在不同的认证体系内建立各自的认证服务器, 与对用户认证采取 “谁的用户谁认证” 原则。OpenID 对于所有支持 OpenID 技术的网站需要用户验证身份的时,全部在 openID 提 供者的服务器上完成。 文档同时指出,跨域认证时,首先以“组织名称+用户名称”二元组作为命名标准,在 交换体系中的所有信息系统内建立统一用户名称体系。 在跨域进行数据交换时, 数据请求方 必须采用统一用户标识提出请求, 数据提供
2、方的交换代理根据标识中的组织名称找到请求方 的认证服务器。这就精简了 OpenID 实际使用中需要做的“标准化”步骤。在实际的 OpenID 使用中,由于用户提供的标识格式不唯一(因为 OpenID 服务提供商较多,导致标识格式不唯 一),如 URL,XRI 等,需要经过处理为标准型后才能进行身份验证。 OpenID 2.0 基本工作流程 跨域安全交换身份验证过程 获取用户标识 规格化 断言 身份认证请求 关联 转回应用程序 发现 数据请求方提供统一用户标识并请求数据交换 数据提供方核对“组织名称”并要求数据请求方 进行本地服务器验证 数据请求方进行本地认证,数据提供方请求认证 结果 数据请求
3、方的认证服务器向数据请求方的应用进 行认证,并发通行证 数据请求方的认证服务器将结果和通行证发送给 数据提供方的交换代理 数据请求方的应用发送通行证至数据提供方的交 换代理,交换代理验证通行证,并检查授权 开始数据交换 OpenID 的思想在跨域安全交换中的具体体现是分布式认证,在不同的认证体系间不采 用统一验证的方法, 采取在不同认证体系内建立各自的认证服务器, 当需要进行身份验证的 时候, 数据请求方发送用户标识和数据交换请求到数据提供方, 数据提供方会发送一个身份 验证请求回到数据请求方的交换代理处,即实现了“谁的用户谁认证” ,认证完成后认证服 务器发送一个通行证给数据提供方的应用,
4、数据请求方的应用发送通行证至数据提供方的交 换代理,通过比对通行证,决定是否验证成功。 OpenID的思想与跨域安全交换身份认证中的不同点是OpenID由于用户标识提供方的不 同,导致提供的用户标识格式不唯一,所以在进行身份验证时,需要先“格式化”用户标识, 使得浏览器能正常重定向到该验证服务器, 否则认为该用户标识不存在, 但是在跨域身份认 证时,数据请求方被要求必须采用统一的用户标识提出请求,即“组织名称+用户名称” 。数 据提供方可以很容易根据“组织名称”字段找到验证服务器从而进行验证。 所以 OpenID 不是直接应用在跨域安全安全交换的身份验证中,而是其思想。每一个用 户都可以注册至少一个并拥有 OpenID 标识,但在跨域安全安全交换的用户不是想申请就能 申请的,所以我认为不能照搬 OpenID 的全部实现方法,而是就其主要思想衍生出的一种解 决身份认证的方法。
