Вопросы Теги

Методы обнаружения OpenID - Yadis VS HTML

Недавно, я начал писать свой собственный потребительский класс PHP OpenID для лучше понимания открытый. Как руководство, я ссылался [Класс LightOpenID] [1]. По большей части я понимаю код и как OpenID работает. Мой беспорядок прибывает при рассмотрении автора discover функция:

function discover($url)
{
    if(!$url) throw new ErrorException('No identity supplied.');
    # We save the original url in case of Yadis discovery failure.
    # It can happen when we'll be lead to an XRDS document
    # which does not have any OpenID2 services.
    $originalUrl = $url;

    # A flag to disable yadis discovery in case of failure in headers.
    $yadis = true;

    # We'll jump a maximum of 5 times, to avoid endless redirections.
    for($i = 0; $i < 5; $i ++) {
        if($yadis) {
            $headers = explode("\n",$this->request($url, 'HEAD'));

            $next = false;
            foreach($headers as $header) {
                if(preg_match('#X-XRDS-Location\s*:\s*(.*)#', $header, $m)) {
                    $url = $this->build_url(parse_url($url), parse_url(trim($m[1])));
                    $next = true;
                }

                if(preg_match('#Content-Type\s*:\s*application/xrds\+xml#i', $header)) {
                    # Found an XRDS document, now let's find the server, and optionally delegate.
                    $content = $this->request($url, 'GET');

                    # OpenID 2
                    # We ignore it for MyOpenID, as it breaks sreg if using OpenID 2.0
                    $ns = preg_quote('http://specs.openid.net/auth/2.0/');
                    if (preg_match('#<Service.*?>(.*)<Type>\s*'.$ns.'(.*?)\s*</Type>(.*)</Service>#s', $content, $m)
                        && !preg_match('/myopenid\.com/i', $this->identity)) {
                        $content = $m[1] . $m[3];
                        if($m[2] == 'server') $this->identifier_select = true;

                        $content = preg_match('#<URI>(.*)</URI>#', $content, $server);
                        $content = preg_match('#<LocalID>(.*)</LocalID>#', $content, $delegate);
                        if(empty($server)) {
                            return false;
                        }
                        # Does the server advertise support for either AX or SREG?
                        $this->ax   = preg_match('#<Type>http://openid.net/srv/ax/1.0</Type>#', $content);
                        $this->sreg = preg_match('#<Type>http://openid.net/sreg/1.0</Type>#', $content);

                        $server = $server[1];
                        if(isset($delegate[1])) $this->identity = $delegate[1];
                        $this->version = 2;

                        $this->server = $server;
                        return $server;
                    }

                    # OpenID 1.1
                    $ns = preg_quote('http://openid.net/signon/1.1');
                    if(preg_match('#<Service.*?>(.*)<Type>\s*'.$ns.'\s*</Type>(.*)</Service>#s', $content, $m)) {
                        $content = $m[1] . $m[2];

                        $content = preg_match('#<URI>(.*)</URI>#', $content, $server);
                        $content = preg_match('#<.*?Delegate>(.*)</.*?Delegate>#', $content, $delegate);
                        if(empty($server)) {
                            return false;
                        }
                        # AX can be used only with OpenID 2.0, so checking only SREG
                        $this->sreg = preg_match('#<Type>http://openid.net/sreg/1.0</Type>#', $content);

                        $server = $server[1];
                        if(isset($delegate[1])) $this->identity = $delegate[1];
                        $this->version = 1;

                        $this->server = $server;
                        return $server;
                    }

                    $next = true;
                    $yadis = false;
                    $url = $originalUrl;
                    $content = null;
                    break;
                }
            }
            if($next) continue;

            # There are no relevant information in headers, so we search the body.
            $content = $this->request($url, 'GET');
            if($location = $this->htmlTag($content, 'meta', 'http-equiv', 'X-XRDS-Location', 'value')) {
                $url = $this->build_url(parse_url($url), parse_url($location));
                continue;
            }
        }

        if(!$content) $content = $this->request($url, 'GET');

        # At this point, the YADIS Discovery has failed, so we'll switch
        # to openid2 HTML discovery, then fallback to openid 1.1 discovery.
        $server   = $this->htmlTag($content, 'link', 'rel', 'openid2.provider', 'href');
        $delegate = $this->htmlTag($content, 'link', 'rel', 'openid2.local_id', 'href');
        $this->version = 2;

        # Another hack for myopenid.com...
        if(preg_match('/myopenid\.com/i', $server)) {
            $server = null;
        }

        if(!$server) {
            # The same with openid 1.1
            $server   = $this->htmlTag($content, 'link', 'rel', 'openid.server', 'href');
            $delegate = $this->htmlTag($content, 'link', 'rel', 'openid.delegate', 'href');
            $this->version = 1;
        }

        if($server) {
            # We found an OpenID2 OP Endpoint
            if($delegate) {
                # We have also found an OP-Local ID.
                $this->identity = $delegate;
            }
            $this->server = $server;
            return $server;
        }

        throw new ErrorException('No servers found!');
    }
    throw new ErrorException('Endless redirection!');
}


  [1]: http://gitorious.org/lightopenid

Хорошо, Вот логика насколько я понимаю (в основном):

  1. Проверьте, чтобы видеть если $url отправляет Вам допустимый файл XRDS, который Вы затем анализируете для выяснения конечной точки поставщика OpenID.
    • От моего понимания это называют методом аутентификации Yadis.
  2. Если никакой файл XRDS не найден, Проверка орган по ответу для HTML <ссылка> тег, который содержит URL конечной точки.

Что. Heck.

Я имею в виду серьезно? Экран Essentially очищает ответ и надеется, что Вы находите ссылку с соответствующим значением атрибута?

Теперь, не понимайте меня превратно, этот класс работы как очарование, и это является потрясающим. Я просто перестал работать к grok, эти два отдельных метода раньше обнаруживали конечную точку: XRDS (yadis) и HTML.

Мои вопросы

  1. Это - эти только два метода, используемые в процессе исследования?
  2. Одно единственное используется в версии 1.1 OpenID и другого в версии 2?
  3. Действительно ли очень важно поддерживать оба метода?
  4. Сайтом, на котором я встретился с методом HTML, является Yahoo. Действительно ли они гаек?

Еще раз спасибо за Ваших людей времени. Я приношу извинения, если я звучу немного изумленным, но я был действительно ошеломлен в методологии, после того как я начал понимать то, что меры принимались для нахождения конечной точки.

6
задан Dylan Corriveau 16 June 2015 в 14:48
поделиться

1 ответ

Спецификация - ваш друг.

Но отвечая на ваш вопрос:

  1. Да. Это единственные два метода, определенные спецификациями OpenID (по крайней мере, для URL-адресов - есть третий метод для XRI).
  2. Нет, оба могут использоваться с обеими версиями протокола. Внимательно прочтите функцию, и вы увидите, что она поддерживает оба метода для обеих версий.
  3. Если вы хотите, чтобы ваша библиотека работала с каждым поставщиком и пользователем, вам лучше сделать это. Некоторые пользователи вставляют HTML-теги на свои сайты, поэтому URL-адрес их сайта может использоваться в качестве openid.
  4. Некоторые провайдеры даже используют оба метода одновременно, чтобы поддерживать совместимость с потребителями, не реализующими обнаружение YADIS (которое не является частью OpenID 1.1, но может использоваться с ним). Так что в этом есть смысл.

И да, обнаружение HTML - это поиск в теле ответа. Вот почему это называется обнаружением HTML.

6
ответ дан 17 December 2019 в 02:21
поделиться
Другие вопросы по тегам:

Похожие вопросы: