在我的电子商务网站上,我为用户提供了 openid 登录名。 除 facebook 外,所有主要提供商都提供了一个 openid 端点。 Facebook 仅提供 oauth 2.0。
对于那个异常(exception),我自己设置了一个 openid 端点,用户可以在其中使用 facebooks oauth 登录。
换句话说,我创建了一个中间站点,用户可以在其中使用 facebook 登录,然后从那里使用 openid 无缝登录到我的电子商务站点。 这仅涉及 header 重定向并且对最终用户透明。
现在亚马逊joined the league单点登录提供商。它们仅支持 oauth 2.0。
总而言之,oauth 2.0 似乎是获胜的候选者而不是 openid,因为我关心的所有提供商现在也都支持 oauth。
所以我考虑直接在我的电子商务网站中实现 oauth。
但是,实现说明因提供商而异。
大多数需要将外部 javascript 加载到站点中。 为我想要支持的每个 oauth 提供商加载外部 javascript 是我想避免的选项。
Facebook 提供完全服务器端的方式,不涉及 javascript。
亚马逊没有。
但这全是 oauth 2.0,不是吗?
在我看来,标准要么非常宽松,要么没有得到一致实现。
是否可以有一个通用的 oauth 2.0 类,我只需传递特定于提供者的配置和端点并实现登录?
我查看了 Zend 实现,但它确实非常庞大... facebook 的无 javascript 实现真的很小...
我有点迷路了。有人可以指出我正确的方向吗?
我想实现几个 oauth 提供程序。其中肯定有 google、facebook、amazon 和 twitter。
是否可以使用相同的代码库实现这一点,还是我必须使用它们的 sdk 类和 javascript 单独实现它们?
我可以毫无问题地做到这一点,但出于多种原因(维护、灵 active 、添加新 vendor 等),我的内心真的不喜欢它
oauth 2.0 标准在哪里?
欢迎提供任何帮助。
个人旁注
I apologize for taking this chance to briefly point out that I don't like Oauth. It requires every site that uses it to register with the oauth providers. Also those providers may disagree to cooperate with sites. I do not like that authority, I prefer openid. I know its not perfect, but I prefer it. Also openid and oauth are vulnerable by design for an attack where a malicious sites lets the user click the login button and opens up a spoofed provider side, where the user logs in in believe that he is logging into the provider site. It cant be helped, the user has to look at the url to see whether its realy the desired site. I know that this is a fundamental problem and difficult to handle, however I wanted to point it out.
最佳答案
提供商之间有很多相似之处,基本流程也相同。浏览器中通常不需要任何 Javascript。每个提供者为您提供的只是一个 helper ,让您的事情变得更轻松(如果您只关心他们的话)。
看来您正在制作一个网站。为此,您需要实现的 OAuth 2 流程称为授权代码流程。最重要的是,它只是一些遵循非常相似模式的 http(s) 请求:
code 重定向回您的站点(到注册的回调地址) access_token来自提供商,使用 code从步骤 #3 和一个 client_id/client_secret (本质上是您的网络服务器的凭据。access_token在 #4 中获取以调用提供者 API。我已经写过它了here如果您想查看更多详细信息。它在 product 的上下文中我正在努力,但原则是一样的。
事情通常变得有点复杂的地方是:
scope ,这从一个提供者到另一个提供者是不同的。例如:Facebook 有很多选项,可以非常精细地控制您要求用户披露的内容(例如 friend 、照片等)。 LinkedIn 更少(例如个人资料、您的网络、通知)。亚马逊只有两个(姓名,邮政编码)。这些都是非常特定于提供商的,因为它们与他们管理的资源相关。请注意,OAuth 本质上是一个授权 协议(protocol)(通常用于身份验证)。在许多情况下,如果您不打算调用他们的 API,您可以使用最小范围。
/userprofile端点以检索登录用户的属性。但很多时候,每个人通常实现不同的模式:有些使用 email其他人会称之为 emailaddress .与 last_name 相同对比family_name等等。将配置文件规范化为具有通用语义的内容取决于您。 对于我们的系统,我们选择将所有内容映射到 openid connect用户信息 standard claims在可能的情况。并非总是可能,因为提供商通常会提供更多信息。 (Here's 我们实际供应的)
关于您的旁注:您是对的,始终使用 SSL 的充分理由。这也是一些提供商添加多因素身份验证的原因。
关于php - 是否可以在没有 javascript 的情况下实现 Oauth 2.0?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/16963266/
类classAprivatedeffooputs:fooendpublicdefbarputs:barendprivatedefzimputs:zimendprotecteddefdibputs:dibendendA的实例a=A.new测试a.foorescueputs:faila.barrescueputs:faila.zimrescueputs:faila.dibrescueputs:faila.gazrescueputs:fail测试输出failbarfailfailfail.发送测试[:foo,:bar,:zim,:dib,:gaz].each{|m|a.send(m)resc
给定这段代码defcreate@upgrades=User.update_all(["role=?","upgraded"],:id=>params[:upgrade])redirect_toadmin_upgrades_path,:notice=>"Successfullyupgradeduser."end我如何在该操作中实际验证它们是否已保存或未重定向到适当的页面和消息? 最佳答案 在Rails3中,update_all不返回任何有意义的信息,除了已更新的记录数(这可能取决于您的DBMS是否返回该信息)。http://ar.ru
使用带有Rails插件的vim,您可以创建一个迁移文件,然后一次性打开该文件吗?textmate也可以这样吗? 最佳答案 你可以使用rails.vim然后做类似的事情::Rgeneratemigratonadd_foo_to_bar插件将打开迁移生成的文件,这正是您想要的。我不能代表textmate。 关于ruby-使用VimRails,您可以创建一个新的迁移文件并一次性打开它吗?,我们在StackOverflow上找到一个类似的问题: https://sta
查看Ruby的CSV库的文档,我非常确定这是可能且简单的。我只需要使用Ruby删除CSV文件的前三列,但我没有成功运行它。 最佳答案 csv_table=CSV.read(file_path_in,:headers=>true)csv_table.delete("header_name")csv_table.to_csv#=>ThenewCSVinstringformat检查CSV::Table文档:http://ruby-doc.org/stdlib-1.9.2/libdoc/csv/rdoc/CSV/Table.html
这是在Ruby中设置默认值的常用方法:classQuietByDefaultdefinitialize(opts={})@verbose=opts[:verbose]endend这是一个容易落入的陷阱:classVerboseNoMatterWhatdefinitialize(opts={})@verbose=opts[:verbose]||trueendend正确的做法是:classVerboseByDefaultdefinitialize(opts={})@verbose=opts.include?(:verbose)?opts[:verbose]:trueendend编写Verb
这个问题在这里已经有了答案:Checktoseeifanarrayisalreadysorted?(8个答案)关闭9年前。我只是想知道是否有办法检查数组是否在增加?这是我的解决方案,但我正在寻找更漂亮的方法:n=-1@arr.flatten.each{|e|returnfalseife
我想在一个没有Sass引擎的类中使用Sass颜色函数。我已经在项目中使用了sassgem,所以我认为搭载会像以下一样简单:classRectangleincludeSass::Script::FunctionsdefcolorSass::Script::Color.new([0x82,0x39,0x06])enddefrender#hamlengineexecutedwithcontextofself#sothatwithintemlateicouldcall#%stop{offset:'0%',stop:{color:lighten(color)}}endend更新:参见上面的#re
我发现ActiveRecord::Base.transaction在复杂方法中非常有效。我想知道是否可以在如下事务中从AWSS3上传/删除文件:S3Object.transactiondo#writeintofiles#raiseanexceptionend引发异常后,每个操作都应在S3上回滚。S3Object这可能吗?? 最佳答案 虽然S3API具有批量删除功能,但它不支持事务,因为每个删除操作都可以独立于其他操作成功/失败。该API不提供任何批量上传功能(通过PUT或POST),因此每个上传操作都是通过一个独立的API调用完成的
我有一个包含多个键的散列和一个字符串,该字符串不包含散列中的任何键或包含一个键。h={"k1"=>"v1","k2"=>"v2","k3"=>"v3"}s="thisisanexamplestringthatmightoccurwithakeysomewhereinthestringk1(withspecialcharacterslike(^&*$#@!^&&*))"检查s是否包含h中的任何键的最佳方法是什么,如果包含,则返回它包含的键的值?例如,对于上面的h和s的例子,输出应该是v1。编辑:只有字符串是用户定义的。哈希将始终相同。 最佳答案
我需要检查DateTime是否采用有效的ISO8601格式。喜欢:#iso8601?我检查了ruby是否有特定方法,但没有找到。目前我正在使用date.iso8601==date来检查这个。有什么好的方法吗?编辑解释我的环境,并改变问题的范围。因此,我的项目将使用jsapiFullCalendar,这就是我需要iso8601字符串格式的原因。我想知道更好或正确的方法是什么,以正确的格式将日期保存在数据库中,或者让ActiveRecord完成它们的工作并在我需要时间信息时对其进行操作。 最佳答案 我不太明白你的问题。我假设您想检查