OpenID
OpenID 是一个开放式标准,在此标准中,用户可对多个实体认证自身而不需要管理多个帐户或多组凭证。WebSphere® Application Server Liberty 支持 OpenID 2.0 并在 Web 单点登录中充当依赖方的角色。
- OpenID 提供程序 (OP)
- 一个 OpenID 认证服务器,可断言用户是否控制唯一标识。
- 依赖方 (RP)
- 一个实体,需要用户控制唯一标识的证明。
- OpenID 标识:
- 一个 http 或 https URL,属于 OpenID 提供程序或用户。
访问 Web 站点之类的各种实体通常需要与每个实体相关联的唯一帐户。OpenID 允许 OpenID 提供程序控制一组凭证来授予对支持 OpenID 的任意数目的实体的访问权。
如果需要登录实体(例如,支持 OpenID 并充当依赖方的 Web 站点),那么用户应通过直接与 OP 交互而不是对 RP 本身提供凭证来执行认证。OP 验证用户身份并将认证确认发送回 RP。OP 接收到此确认时,RP 接受用户通过认证。
下面描述了典型的 OpenID 认证流程:
- 用户尝试访问受保护资源,例如,网页。
- 充当 RP 的 Liberty 服务器为受保护资源提供表单登录页面。
- 用户输入 OpenID 标识。
- RP 获取该标识并将用户重定向至相应 OP。
- OP 提示用户输入凭证。
- 用户输入与 OP 相关联的帐户的凭证。
- OP 认证用户并(可选)提示用户批准或拒绝向 RP 提供用户信息,然后将用户重定向回 RP 并显示认证结果。
- 如果 OP 认证成功,那么 RP 会尝试对用户授权。
- 如果用户授权成功,那么 RP 会建立与用户的已认证会话。

OpenID 有助于将错误处理用户凭证或敏感信息的机会降至最低。通过 OpenID,用户凭证仅与 OpenID 提供程序交换,这意味着 OP 以外的 Web 站点不会见到用户凭证。此标准有助于减少不道德或不安全的 Web 站点危害用户身份的可能性。用户还会控制与所访问网站分享的个人信息量。例如,用户可选择允许与一个 Web 站点共享与他们的 OpenID 帐户相关联的姓名和电子邮件地址,同时选择不向另一 Web 站点提供他们的电子邮件地址或根本不向另一 Web 站点提供任何信息。
受支持的 OpenID 标准规范包括:
OpenID Attribute Exchange 1.0.
大家都知道 OpenID 提供程序可能不会验证某些 OpenID 属性(包括电子邮件)。如果不信任提供程序将为您提供已验证的电子邮件地址,那么不得将该提供程序的电子邮件地址用作 WebSphere Application Server 中的已认证用户名。