Open ID作为内部认证机制

Question

我的一个要求是为一组网站实施单点登录。不需要像往常一样支持Open ID，也不需要成为Open ID提供者。但是，我考虑在内部使用Open ID。我的问题是：

• 如果我的开放ID提供商仅限于受信任的域名列表，则对用户的身份验证体验将是透明的（除了少数重定向到提供商子域以及后退和位不同的表单设计）？
• 由于提供商不公开（检查重定向的域列表），是否会引入新的攻击面？
• 如果其中一个网站有桌面应用程序，应该是直接或通过网站外观与提供商交谈？

找到similar question这很有用，但并没有真正回答我的。

Answer 1

1）是的，体验可能类似，但不是无缝的。例如，您可能无法在网站上拥有用户名/密码登录框。

2）客户（不仅仅是中继方）必须能够访问提供商。所以这取决于您的客户是内部还是互联网。

3）这实际上取决于应用程序是否可以执行OpenID。另请参阅（1），应用程序是否可以处理提供者网页的开放？