私はいくつかの時間前にOpenID認証を実装していると私は(DotNetOpenAuthの面で)ClaimedIdentifierを使用し、ユーザーを覚えておくこと - 認証後OpenIDプロバイダによって返された文字列を。のOpenID認証の脆弱性
しかし、突然、私は、このソリューションは、脆弱性を持って理解していました。ユーザ1に識別された "identifier1"を返すOpenIdプロバイダ1があるとしましょう。今私がこの識別子を知っていれば、カスタムOpenIdプロバイダを起動して同じ識別子を返すことができるので、ユーザ1の下でログインすることができます。
今私はopenid_identifier(OpenIDプロバイダのURL)+ ClaimedIdentifierを格納考えています。
は、私は右の私の考えでいるだろうか?私は他の可能性のある脆弱性を見逃していませんか?