J'ai un système d'authentification basé sur Open ID sur mon site.
Parfois, les utilisateurs auront un compte enregistré sous foo@gmail.com
et ils essaieront de se connecter en utilisant le fournisseur d'identifiant ouvert de Google. https://www.google.com/accounts/o8/id
Dans ce cas, je voudrais associer automatiquement le compte et le connecter.
Quand le processus est terminé, je reçois une charge utile de quelque part qui prétend que openid.op_endpoint=https://www.google.com/accounts/o8/id
.
Ma question :
- Puis-je faire confiance
openid.op_endpoint
pour être correct ? Est-ce que cela peut être falsifié par un fournisseur d'openid malveillant ?
Pour illustrer, disons que quelqu'un tape http://evil.org
en tant que fournisseur d'identifiant ouvert, est-ce que je peux finir par recevoir une requête en retour qui prétend que openid.op_endpoint
c'est google ? Dois-je stocker des informations supplémentaires par rapport au nonce pour le valider ?
La spécification est un peu délicat pour comprendre