Janrain OpenId против PHP-библиотек lightopenid

В чем разница между PHP-реализацией библиотеки Janrain PHP OpenID и LightOpenID.

Один безопаснее другого?

Согласно странице лучших практик Google:

Правильная реализация OpenID должна:

  1. проверка прикрытия криптографических подписей

  2. проверка одноразовых номеров

  3. Открытие Яди

Я предполагаю, что библиотека Janrain действительно выполняет все эти требования, поскольку Google рекомендует библиотеку, но LightOpenID выполняет 1 и 2.


php openid google-openid janrain lightopenid
person icc97    schedule 23.04.2012    source источник

Ответы (1)


arrow_upward
5
arrow_downward

LightOpenID использует версию протокола без сохранения состояния, что делает его намного проще, чем библиотека Janrain.

Версия без сохранения состояния делегирует проверку (все, что связано с криптографией, одноразовыми номерами и т. Д.) Поставщику, поэтому LightOpenID не проверяет это самостоятельно. Однако в этом отношении он соответствует спецификации, так что это не проблема безопасности.

person Mewp    schedule 24.04.2012