OpenID Connect Core 1.0(八)从第三方发起登录

在某些情况下,登录流程由一个OpenID提供者或其他方发起,而不是依赖方(RP)。在这种情况下,发起者重定向到RP在发起登录终结点,RP的请求验证请求发送到指定的OP。这个发起登录终结点可以在RP深度链接,而不是默认的登录页面。RPs支持OpenID Connect Dynamic Client Registration 1.0 [OpenID.Registration] 注册这个终结点,使用 initiate_login_uri 注册参数值。

第三发起登录请求被重定向到RP发起登录终结点,通过以下参数:

iss

必需的。RP发送验证请求的OP发布者标识符。它的值必须是一个使用 https方案的URL。

login_hint

可选的。提示给授权服务器关于终端用户可能使用登录标识符。如果客户端接收到一个值为string化值参数,它必须包含 login_hint 参数值的验证请求。

target_link_uri

可选的。RP请求的URL重定向后验证。RPs必须验证target_link_uri的值以防止被用作 一个开放的外部网站转向器。

作为查询参数传递的参数,可以使用 HTTP GET方法或通过HTML表单值自动提交给用户代理,当然使用的是HTTP POST方法。

如果定义的扩展,其他参数可能会被发送。任何不被客户理解的参数都必须忽略。

客户应采用框架破坏和其他技术来防止终端用户被他们不了解的第三方网站登录通过 “点击劫持”等攻击。[RFC6819]的4.4.1.9 节中有更多的细节。

posted @ 2018-11-02 09:31 a.thinker 阅读(...) 评论(...) 编辑 收藏