权限认证之OpenID-OP/RP

OpenID规范文档中的介绍：
　　OpenID 认证提供了一种方式，可以让用户证明自己对某个 Identifier 拥有控制权。 它不需要 Relying Party 去访问用户的凭据比如密码或者其他的敏感信息比如电子邮件地址等。 
　　OpenID 是分散的。不需要一个中央官方机构批准或注册 Relying Parties 或 OpenID Providers。 最终用户可以自由地选择使用哪个 OpenID Provider，并能在他们更换 OpenID Providers 时维护自己的 Identifier。 
　　OpenID 认证仅仅使用标准的 HTTP(S) 请求和响应， 因此它不需要 User-Agent 具有特殊能力或者其他客户端软件。 OpenID 不和 cookies 的使用或者 Relying Party 的其他任何具体机制或 OpenID Provider 的会话管理挂钩。 虽然使用该协议没有必要扩展 User-Agents，但可以简化用户操作。 
　　用户信息或者其他信息的交换不包括在该规范中，在此协议上附加协议形成一个框架可解决此问题。 OpenID 认证的目的是提供一个基础服务，使它能在自由和分散的方式下携带用户数字标识。

介绍中涉及到了很多名词，比如Relying Parties，这些都代表什么意思呢，下面就介绍下OpenID中最重要的三种角色：
OP【OpenID Provider】: OpenID提供者，提供对用户鉴权功能
RP【Relying Party】: 依赖方，直接服务提供者，需要信任OP鉴权的结果
UA【User Agent】：终端用户，想使用RP服务的用户
三者间的关系就是：让UA在OP登陆，并使用RP提供的服务；
UA和OP/RP交互的时序图如下：

OP和RP在初次交互的过程中，需要建立一种关联关系Association，这就涉及到安全性的问题，OpenID规范中指出，在Association会话建立过程中，采用了 Diffie-Hellman密钥一致协议 来保证会话的安全性，主要有"no-encryption"、"DH-SHA1"和"DH-SHA256"三种类型，注意第一种类型只能在https传输协议下才能选择；
而在双方互相信任之后，则采用更为简单和快速的HMAC-SHA算法来进行签名，有"HMAC-SHA1"和"HMAC-SHA256"两种选择；需要注意的是在选择两类算法时两者的长度需要保持一致；

 

PS：OpenID认证2.0官方文档地址：http://www.openid.net.cn/specs/openid-authentication-2_0-zh_CN.html

OpenID4JAVA：http://code.google.com/p/openid4java/