OpenID:标识符 URL 是否唯一？标识符之间有什么区别

Question

在 OpenID specs 中，它说:

• Identifier:

An Identifier is just a URL. The whole flow of the OpenID Authentication protocol is about proving that an End User is, owns, a URL.

• Claimed Identifier:

An Identifier that the End User says they own, though that has not yet been verified by the Consumer.

• Verified Identifier:

An Identifier that the End User has proven to a Consumer that they own.

• Identity Provider:

Also called "IdP" or "Server". This is the OpenID Authentication server that a Consumer contacts for cryptographic proof that the End User owns the Claimed Identifier.How the End User authenticates to their Identity Provider is outside of the scope of OpenID Authenticaiton.

标识符URL是否唯一？它到底是什么？

如果它不是唯一的，是否有任何唯一的东西可以让消费者在同一个 OpenID 端点 URL 上的不同用户之间有所不同？

IdP和标识符URL有什么区别？

在其他地方，我读过术语“OpenID 端点 URL”。

OpenID端点URL和IdP一样吗？那么 IdP 也是一个 URL 吗？

我们以 Google 的 OpenID 为例。当某个站点要求我使用 OpenID 登录时，我使用 OpenID URL https://www.google.com/accounts/o8/id 。那是标识符URL吗？如果是这样，它显然不是唯一的。通常，当我在该站点上查看有关我的 OpenID 登录的帐户设置时，它不会显示输入的 URL，但它以某种方式扩展了它，例如 https://www.google.com/accounts/o8/id?id=AltOawk... 。该 URL 现在看起来有点独特。

现在 https://www.google.com/accounts/o8/id 的目的是什么？那是 OpenID 端点 URL 吗？或者是 IdP URL(如果不同的话)？

https://www.google.com/accounts/o8/id?id=AltOawk... 的目的是什么？对于我的 Google 帐户来说，这真的是独一无二的吗？所以那个 URL 就是我的身份？

为什么他们没有使用 https://www.google.com/accounts/o8/id?u={google-username} 而不是这个神秘的 ...?id=AltOawk... ？

Google 的标识符 URL 是什么？

OpenID 端点 URL 是什么？ (什么是 IdP URL？)

我问的原因是因为我正在尝试实现自己的 OpenID 端点。

OpenID端点URL和标识符URL一样吗？

在我的 OpenID 端点实现中，我确实遇到了这个问题，即不同用户之间不能有区别。消费者网站只是将该 OpenID 端点上的所有用户视为相同。当然，它始终是相同的 OpenID URL，但 Google 的 OpenID 也是如此。

如果最终用户使用此“通用”URL，我如何在我的 OpenID 端点实现中将其重定向/转发到“具体”/唯一(标识符？)URL？或者我怎样才能让它区分同一个 OpenID URL 上的不同最终用户？

在我当前的实现中，当我启用一些调试跟踪时，我得到的第一个请求是模式 checkid_setup。在规范中，它说我在这里获得了声明的标识符。由于我在消费者站点上输入的内容(我的调试跟踪也说相同)，这就是“通用”URL(OpenID 端点 URL)。 IE。那是 而不是 唯一的 URL。

我现在必须做重定向吗？规范没有说明任何内容。我在哪里告诉“具体”网址？ (在我的例子中，就是 URL http://{endpoint-url}?u={endpoint-username} 。)

还有术语“OpenID 服务器”(URL)和“OpenID 委托(delegate)”(URL)。

这些术语与上述其他术语有何关系？和 OpenID 端点 URL 一样吗？

什么是“OpenID 身份”？与 OpenID 标识符 URL 相同吗？

另请参阅相关问题: How does OpenID differ between different logins on the same OpenID endpoint?
(元问题:我是否应该将其拆分为许多独立的 SO 问题？恐怕否则我可能无法得到所有问题的答案。)

Answer 1

好的，因为我刚刚修复了我的 SMF OpenID endpoint implementation (阅读有关我遇到的一些非常相关的问题的详细信息 here )我对这些关系做了一些假设。当然，这并不能证明他们是正确的(所以请纠正我)。他们来了:

标识符 URL = OpenID 端点 URL = IdP

OpenID 端点不是唯一的。该端点的所有最终用户都是相同的。

验证标识符 URL = 身份

已验证的标识符 URL 是唯一的。它与端点用户帐户相关联。

https://www.google.com/accounts/o8/id是 Google OpenID 端点 URL。

https://www.google.com/accounts/o8/id?id=AltOawk...是经过 Google OpenID 验证的标识符 URL。

Google OpenID 身份 URL 包含的哈希也与 OpenID 领域(此 OpenID 标识符保持有效的消费者域命名空间)相关。这是不只是用户名的原因之一。

关于如何提供唯一验证标识符 URL，请参见 here .

我仍然不清楚一些事情:

Google 对哈希 id 使用的其他原因还有哪些？它也可以使用 id?u={username}&oidrealm={...} .

拥有这样的 OpenID 领域的原因是什么？

标识符 URL 和声明的标识符 URL 之间究竟有什么区别？