我在我的应用程序中使用openid 2.0。我需要在DB中保存openid标识符值以验证用户。我也可以保存电子邮件,但保存claimidentifier也似乎是一个很好的方法。
为什么使用ClaimedIdentifier而不是FriendlyIdentifier来存储在DB中是否安全?它会有什么不同?
我在我的应用程序中获得了这两个值,但很多帖子都说由于安全问题而避免使用FriendlyIdentifier。 ClaimedIdentifier可以克服哪些安全问题,哪个FriendlyIdentifier不能?
答案 0 :(得分:1)
这个也是这样的 - 如果有人复制了intuit openid url格式并传递了一些脚本值,则截断openid友好标识符并在db中保存随机字符串可能会导致一些脚本问题。最好保存完整的唯一声明标识符值(https),然后获取并截断它以匹配用户。