我正在与OpenID的第三方完成整合。我们已经完成了所有的硬件,一切正常。
第三方称他们为foo.com,为在其网站上登录的用户提供OpenID身份验证,但他们正在对他们无法控制的域上的用户进行身份验证和提供信息。像gmail.com这样的域名,我公司的域名,我确定任何其他域名来自他们登录的帐户的任何电子邮件地址。
根据OpenID规范,这是犹太洁食吗? (我找不到文档)在我看来,foo.com为bar.com提供OpenID身份验证,其中foo.com和bar.com无关,而bar.com可能甚至不提供OpenID支持,似乎错过了OpenID的全部内容:您应该只验证您完全控制其帐户的人的身份。
答案 0 :(得分:1)
只要身份URL在发现期间引用OP,就可以了。
OP不应该对用户的身份有任何控制权。它只是确认了计算机前用户与身份网址之间的关系。