OpenID 2.0认证协议详解与通信机制（草案12）

Open ID 2.0 是一种开放的、标准化的身份验证协议，它允许用户在多个网站上使用相同的账户进行登录，而无需每次都创建新的账户。这一版本的协议（Implementor's Draft 12）定义了一套详细的流程和交互机制，旨在提高用户体验并增强安全性。 **符号惯例** Open ID 2.0 使用标准的词汇表，其中MUST、MUSTNOT、REQUIRED、SHALL、SHALLNOT、SHOULD、SHOULDNOT、RECOMMENDED和MAY等词汇用于指示规范性要求的不同强度。例如，MUST表示一项操作是强制性的，不能被忽略或违反。 **术语解释** 关键术语包括： - Identifier：标识符，如用户提供的OpenID URL或者OP（OpenID Provider）的本地标识。 - User-Agent (UA)：用户代理，指浏览器或其他客户端软件。 - Relying Party (RP)：依赖方，即要求用户进行身份验证的网站。 - OpenIDProvider (OP)：OpenID提供者，通常是一个已经验证过的第三方身份提供商。 - OPEndpointURL：OpenID提供商的特定端点URL，用于处理OpenID相关的请求。 - OPIdentifier：OP的唯一标识，便于用户选择身份提供商。 **协议概要** Open ID 2.0 的核心流程包括用户选择一个OP后，RP通过OpenID Discovery机制找到OP的endpoint，并发起一个请求，通常涉及以下步骤： 1. 用户在RP的登录页面输入OpenID URL，RP会构造一个包含nonce和state的请求。 2. 用户同意授权后，RP将请求发送到OP。 3. OP验证请求的合法性，然后返回一个带有身份验证信息的response。 4. RP根据response中的信息完成用户身份的验证或重定向。 **数据格式** 协议消息分为两种类型：协议消息（如Request和Response）和整数的表示（可能涉及Base64编码或URI编码）。这些消息采用Name-Value对的形式，有时也会使用Message Authentication Code (MAC)来保证通信的安全性。 **通信类型** Open ID 2.0 支持两种通信类型：form-based和HTTP POST。form-based通常用于早期的网页交互，而HTTP POST则更适合现代Web应用，因为它更安全且能处理大量数据。 Open ID 2.0 是一种灵活且用户友好的身份验证协议，它通过标准化的流程和术语，简化了用户在不同网站间的登录过程，同时保证了数据的安全性和一致性。遵循Open ID 2.0 Implementor's Draft 12的规范，开发者可以构建支持Open ID登录的应用程序，提高用户的体验和系统的安全性。