На веб-сайте я реализовал вход с использованием OpenID (на основе StackOverflow).
Но я не могу выйти из системы.
На моем хосте я могу выйти из системы, но когда пользователь пытается снова войти в систему (особенно с помощью google), аутентификация проходит, не требуя от пользователя ввода имени и пароля.
Как я могу указать поставщику OpenID, что пользователь больше не авторизован на сайте?
OpenID аутентифицирует пользователей вашего сайта, когда затем запускает сеанс на вашем сайте. Вы уничтожаете или аннулируете сеанс вашего сайта отдельно от сеанса пользователя с его провайдером OpenID.
Пользователь посещает сайт joewidgets.com> Пользователь входит в систему с помощью OpenID (с новым или существующим сеансом провайдера)> ... Пользователь нажимает кнопку выхода> joewidgets.com уничтожает / отменяет сеанс.
Если у пользователя есть провайдер OpenID, чтобы он оставался в системе, и ваша система автоматически проверяет, то он создаст новый локальный сеанс. (Не) к счастью, вы не можете / не можете беспокоиться о том, что пользователь делает или не делает у своего провайдера, что является за / против OpenID.
В Social Lipstick есть аргумент, который призывает к "единому знаку - Out ", но OpenID в настоящее время не поддерживает эту функцию.
Это называется единым выходом из системы или единым выходом из системы, который OpenID не поддерживает. На мой взгляд, SSO без выхода из системы - большая дыра в безопасности. Выход из системы с одного сайта не имеет большого значения, если другие могут войти в систему с помощью нескольких щелчков мышью.
А пока нам нужно вспомнить провайдера. Если это кто-то из наших знакомых, мы запускаем для них процесс выхода из системы. Для Google это URL,
https://www.google.com/accounts/Logout
Процесс выхода из системы уродлив, но он выполняет свою работу.
Обычно этим занимается провайдер OpenID - например, если пользователь остается в своей учетной записи Google и устанавливает флажок, чтобы «запомнить» авторизацию OpenID для вашего конкретного сайта, то провайдер прозрачно зарегистрирует их и перенаправит обратно без отображение приглашения для входа в систему.
«Это функция, а не ошибка»
Поставщик идентификаторов может сохранить авторизацию пользователя для поставщика с помощью файлов cookie, а также может отказаться от повторного запроса пользователя о предоставлении доступа к той же информации, которая была предоставлена ранее (с запросом). Поэтому, когда пользователь на сайте A запросил авторизацию через сайт B и был перенаправлен, сайт B сначала попросил пользователя аутентифицировать себя. Затем сайт B спросил, следует ли ему делиться какой-либо информацией (а иногда и какой информацией) с сайтом A. На этом этапе он также обычно спрашивает, хотите ли вы автоматически делиться этой же информацией в будущем. Некоторые провайдеры предполагают, что да, некоторые нет, некоторые не спрашивают. Затем сайт B перенаправляется на сайт A и делится информацией, теперь вы вошли в систему.
Если сайт A выполняет второе перенаправление на сайт B для запроса входа в систему, сайт B может 1) уже иметь файл cookie, который аутентифицирует текущего пользователя сайта B. 2) уже есть запись о том, какая информация может быть предоставлена сайту B. 3) Автоматически делитесь этой информацией с помощью перенаправления, вообще не делая паузы для запроса пользователя.
Эта функция сосредоточена на удобстве.
