cookies - mvc - openid ejemplo
OpenId+recordarme/permanecer conectado (2)
El desbordamiento de pila probablemente usa una cookie para recordarlo como número de usuario xyz o id de sesión 1234. Después de la autenticación, OpenID ya no tiene nada que ver con la sesión. SO no tiene la capacidad de ver si todavía estás conectado a Google, por lo que parece natural.
Tengo una pregunta sobre cómo / cuáles son los mejores enfoques para usar OpenId y también proporcionar la capacidad de permanecer conectado.
Si miro Stackoverflow, por ejemplo, he iniciado sesión con Google y si cierro el navegador y vuelvo, todavía tengo mi sesión iniciada.
Sin embargo , no estoy conectado a Google y, además, he eliminado stackoverflow de la lista de servicios autorizados que tienen acceso a su cuenta de Google. Esperaría ingenuamente que stackoverflow me hiciera iniciar sesión nuevamente, pero no lo hace.
Entonces, mi pregunta es, ¿cuáles son las mejores prácticas con respecto a OpenId y recordar a los usuarios autenticados en todas las sesiones?
OpenID es todavía bastante nuevo y varias partes confiadas están probando nuevas y diferentes formas de implementar OpenID. Hay un documento de trabajo en curso sobre las mejores prácticas para las partes dependientes hospedadas por la fundación OpenID. En particular, abordan la cuestión de las cookies y la duración de las sesiones en su última sección . Definitivamente, es una idea interesante utilizar cookies de Claim_id persistentes en lugar de cookies de sesión persistentes para facilitar la vida del usuario; solo tienen que cerrar sesión en su OP y cerrar el navegador.
Personalmente, encuentro el comportamiento que está describiendo en bastante natural. Si OpenID estuviera fuera de la imagen y hubiera iniciado sesión en un sitio web de nombre de usuario / contraseña en dos computadoras diferentes con una cookie persistente (un escenario muy común), y cambió su contraseña en una, no me sorprendería si la otra La computadora todavía me tenía conectado. Podría llamar a eso un agujero de seguridad, pero sigue siendo una práctica normal. De hecho, es normal que Gmail haya agregado recientemente una pantalla en la parte inferior de la pantalla de la Bandeja de entrada que le indique dónde más ha iniciado sesión y le da la oportunidad de invalidar su cookie de sesión.
Sugeriría que cualquier RP pueda adoptar un enfoque similar, independientemente del método de autenticación. Y eso probablemente mitigaría la preocupación de seguridad que tiene.