我正在使用dotNetOpenAuth通过用户的Google Apps帐户向我的应用提供SSO。除了简单的身份验证,我还要求Google返回用户的电子邮件,名字和姓氏。当用户第一次进入时,他们会被重定向到典型的Google帐户页面,告诉他们该应用程序正在询问此信息,并且他们是否希望允许该信息。那里有复选框以记住此批准。问题是,批准不被记住。如果他们在不关闭浏览器的情况下返回网站,它会记住它们。但如果他们关闭浏览器然后稍后再打开并重新进入,则会再次提示他们允许它。
如果我浏览显示已关联网站,应用和服务的Google帐户页面,我会多次看到我的应用列表。它就像它不能识别它是相同的应用程序并继续添加它。
我知道我必须遗漏一些明显的东西,但我不确定它是什么。有什么想法吗?
谢谢!
您可以找到我的代码here
答案 0 :(得分:5)
我在你的代码中看到了几个问题。要首先回答您的直接问题,Google在回访时不记得您的原因是因为您每次登录时都会在您的Realm中传递随机GUID。这个症状实际上比您意识到的要糟糕得多。这不仅仅是Google提示用户进行回访,您的网站在回访时根本无法识别用户,因为Google会在每个网站上为他们提供新声明的标识符访问。
修复是你应该为每个登录请求使用完全相同的Realm:
Realm realm = "http://www.yoursite.com/";
var req = openid.CreateRequest(discoveryUri, realm, URIbuilder.Uri );
或者我个人的最爱:
var req = openid.CreateRequest(discoveryUri, Realm.AutoDetect, URIbuilder.Uri );
Realm.AutoDetect将适用于您,在这种情况下,您需要将其锁定为其中一个或另一个,以便Google识别您的网站始终如一。
您还必须记住,作为第3个参数传递给CreateRequest的returnTo网址必须始终基于领域。因此,如果您的领域是HTTPS,那么您的returnTo参数也必须是。
我还想提醒您,您似乎有一些GUID代码和复杂的URL操作,试图确保您接受的每个OpenID响应来自您发出的请求。我不确定你为什么要首先尝试这样做,尽管肯定有合理的理由。你这样做的方式是不安全的,可以规避。我建议你删除所有这些代码,支持将其添加到你的web.config文件中:
<dotNetOpenAuth>
<openid>
<relyingParty>
<security rejectUnsolicitedAssertions="true" />
</relyingParty>
</openid>
</dotNetOpenAuth>
该库支持要求所有响应来自您内置的请求,并且它安全地执行,因此我之前提到的安全漏洞是不可能的。
但是,如果你只是试图应用这个限制,以便你知道它来自谷歌,我可以建议你不要拒绝未经请求的断言,而是在收到回复时检查IAuthenticationResponse.Provider.Uri属性并验证它来自Google OP Endpoint?然后,如果谷歌曾支持发送未经请求的断言,它将在您的网站上运行,并且最终您的安检门正是您打算成为的目的。