我正在尝试使用pape.MaximumAuthenticationAge强制用户使用OP重新进行身份验证,但DotNetOpenAuth中的示例似乎无法处理它。
阅读DotNetOpenAuth "Sign Out" Button和http://openid.net/specs/openid-provider-authentication-policy-extension-1_0.html#anchor8之后,这似乎是正确的方法。
请有人确认这是正确的方法,并建议我需要在OP示例中做出哪些更改才能实现。感谢。
答案 0 :(得分:1)
您是正确的,OpenId允许您将“最大身份验证时间”条件应用于指示OP在最终用户未在-n-秒内进行身份验证时进行身份验证的请求。通过将此参数设置为“1”,您可以有效地强制OP重新验证最终用户。
但是,不要假设每个提供商都实施了强制执行'max auth age'参数的功能。这可能是您所看到的任何意外行为的原因。
来自文档:
如果OP不满足请求 为了及时认证,RP 可能决定不授予最终用户访问所提供服务的权限 由RP。
使用以下页面在OP by OP的基础上测试对此参数的支持: http://test-id.org/OP/MaxAuthAge.aspx