1. Inicio
  2. Pregunta y respuesta
  3. OpenID + recuérdame/mantener la conexión en

OpenID + recuérdame/mantener la conexión en

2009-06-04 17 views
19

Tengo una pregunta en cuanto a cómo/qué los mejores enfoques son para el uso de OpenID y que también proporciona la capacidad de permanecer conectado.OpenID + recuérdame/mantener la conexión en

si miro Stackoverflow por ejemplo tengo conectado a través de Google y si cierro el navegador y volver todavía me tiene como conectado.

sin embargo, no estoy conectado en Google y Moreoever he eliminado stackoverflow de la lista de servicios autorizados cuales tener acceso a su cuenta de Google Ingenuamente esperaría que stackoverflow me llevara a iniciar sesión de nuevo, pero no es así.

Así que mi pregunta es, ¿cuáles son las mejores prácticas con respecto a OpenId y recordar a los usuarios autenticados en todas las sesiones?

Fuente

2009-06-04 jamie

Respuesta

11

OpenID sigue siendo bastante nuevo y varias partes confiantes están probando nuevas y diferentes formas de implementar OpenID. Hay un trabajo en progreso best practices document for relying parties alojado por la fundación OpenID. En particular, abordan la cuestión de las cookies y las longitudes de sesión en su last section. Definitivamente, es una idea interesante utilizar cookies claim_id persistentes en lugar de cookies de sesión persistentes para facilitar la vida del usuario: solo tienen que cerrar sesión en su OP y cerrar el navegador.

Personalmente el comportamiento que describes en StackOverflow me parece bastante natural. Si OpenID estuviera fuera de escena y hubiera iniciado sesión en un sitio web de nombre de usuario/contraseña en dos computadoras diferentes con una cookie persistente (un escenario muy común), y haya cambiado su contraseña en una, no me sorprendería que la otra la computadora todavía me tenía conectado. Usted podría llamarlo un agujero de seguridad, pero sigue siendo una práctica normal. De hecho, es normal que Gmail haya agregado recientemente una pantalla en la parte inferior de la pantalla de la Bandeja de entrada que le indica dónde más está conectado y le da la oportunidad de invalidar su cookie de sesión.

Sugeriría que un enfoque similar podría ser adoptado por cualquier RP, independientemente del método de autenticación. Y eso probablemente mitigaría la preocupación de seguridad que tiene.

Fuente

2009-06-04 16:50:49

+2

4 años después, verificando si hay algún progreso en esto? –

+1

4 años después, sí, creo que hubo, hay amplias [especificaciones] (http: // openid.net/developers/specs /) aquí. –

4

El desbordamiento de pila probablemente usa una cookie para recordarlo como número de usuario xyz o id. De sesión 1234. Después de la autenticación, OpenID ya no tiene nada que ver con la sesión. SO no tiene la capacidad de ver si todavía estás conectado a Google, así que esto parece natural.

Fuente

2009-06-04 11:36:32

+1

Entiendo/agradezco que está utilizando su propia cookie, pero esperaría que al menos se realizara alguna comprobación periódica contra Google, ya que eliminé el desbordamiento de la pila de la lista de servicios autorizados en mi cuenta de Google. Bajo esta configuración, alguien podría venir y usar mi máquina fácilmente y publicar contenido dentro de la pila desbordada cuando he dicho que no quiero que esto suceda en Google. – jamie

+1

Ha indicado que ya no desea que el desbordamiento de pila se autentique en su cuenta de Google. No se está autenticando porque ya lo hiciste hace un tiempo. Lo que quiere imposible sin tener que volver a iniciar sesión periódicamente. –

+2

Sin embargo, desde el punto de vista del usuario, creo que esto hace que OpenId sea algo contradictorio. Puede tener un lugar para "proporcionar su proceso de inicio de sesión", pero no tiene un lugar para controlar qué sitios pueden usarlo o no. Esto potencialmente significa que cuando otros sitios, en efecto, retuvieron suficiente información de su inicio de sesión, entonces no necesitan autenticarse de nuevo. De todos modos, mi pregunta no estaba dirigida a SO per se, sino a cuáles son las mejores prácticas recomendadas con respecto a las soluciones OpenId & 'permanecer conectado'. – jamie

Cuestiones relacionadas

 Cuestiones relacionadas