使用DotNetOpenAuth,我启用了OpenID登录到本地Sportsclubs网站的功能。
除了用户从家里登录外,俱乐部内还有一台PC以信息亭模式运行IE。我的信息亭PC上存在一些安全问题。
1)我可以以某种方式告诉身份提供者不要提供“保持登录状态”选项吗?或至少对于Yahoo,默认情况下不选中它。
我希望可以在扩展名或类似内容中定义它,但是我还没有找到类似的东西。
2)我可以轻松地从我们自己的站点注销用户,但是与身份提供者的 session 仍然存在。这样,信息亭PC上的任何人都可以使用OpenID作为最后一个人登录。
我的页面上以及我的信息亭PC上都有一个注销按钮,甚至定时激活了注销按钮。通过Google,Yahoo和AOL,我发现了注销URL。我将这些作为注销过程的一部分进行激活。
有人知道myOpenID的登出网址吗?以及其他提供商。甚至更好的是,我可以像请求电子邮件一样从提供商那里请求URL?
如果它对任何人都有用,那么我到目前为止找到的网址:
Google:https://www.google.com/accounts/Logout
雅虎:https://login.yahoo.com/config/login?logout=1
美国在线:https://my.screenname.aol.com/_cqr/logout/mcLogout.psp
提前致谢,
一月
最佳答案
我对您似乎将信息亭与用户正在访问的网站混为一谈感到困惑。您的信息亭是否只允许用户访问您的特定RP?索取RP来将用户也从他们的OP中注销通常是不礼貌的,并且由于这种操纵将影响RP,而不管用户是从售货亭还是从家用计算机访问您的网站,我都不认为将您的网站自定义为如果信息亭是其唯一的模式,则是个好主意。
最好只设置信息亭的IE选项,以便每次关闭浏览器时都会清除所有cookie。正如Samuel所说:也许编写一个插件,当它在您的网站上看到表示用户正在注销的URL时,将强制清除cookie,以帮助那些没有关闭浏览器的用户。
但是有两个大拇指可以帮助您提高客户的安全性!
关于openid - 信息亭PC上的OpenID,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/5136193/