« Home | Facebook dev, IIS 5.1, and error 405 » | Creating Your Own Dev SSL Cert for IIS » | Moving from ASP.NET 1.1 to 2.0 » | Link Drop VI » | Silverlight createFromXaml Bug » | C# command line parser? » | Firefox extension: CookiePie » | Hand-held browser » | Silverlight » | Google Finance » 

Tuesday, February 12, 2008 

How Does OpenID Work?

I've heard about OpenID on a podcast I listen to. Sounds interesting - an open source solution to have a 'single sign on' for many websites. Interested to see how this works - both as a user, and as a website author.

Here's a run through of an example authentication:

  1. User accesses an OpenID enabled website, site responds with a form requesting the user's OpenID identity.
  2. User enters their identity, e.g: russau.myopenid.com. Then submits the form to the website.
  3. Website server accesses http://russau.myopenid.com.
  4. Retrieves the location of the OpenID provider from the link tag:
    <link rel="openid.server" href="http://www.myopenid.com/server" />
  5. Website POSTs an 'associate' request to the provider. The two machines establish a secret using a Diffie-Hellman key exchange.
    openid.modeassociate
    openid.assoc_typeHMAC-SHA1
    openid.session_typeDH-SHA1
    openid.dh_consumer_public
    openid.dh_modulus
    openid.dh_genAg==
  6. Provider's response provides the website an 'assoc_handle' (and expiry) for future requests. The two servers now have established a shared secret, without passing it over the wire.
  7. assoc_handle{HMAC-SHA1}{47b0ec92}{5hMN8A==}
    assoc_typeHMAC-SHA1
    dh_server_public
    enc_mac_key
    expires_in1209600
    session_typeDH-SHA1
  8. The comsumer's response from step 2 contains a redirect to the provider, containing a number of parameters in the querystring. Note, the querystring contains the established 'assoc_handle', and a 'nonce' has been attached onto the 'return_to'.
    openid.modecheckid_setup
    openid.identityhttp://russau.myopenid.com/
    openid.return_tohttp://openidconsumer.test/cp/login.aspx?&nonce=vovudmLa
    openid.trust_roothttp://openidconsumer.test/cp
    openid.assoc_handle{HMAC-SHA1}{47b0ec92}{5hMN8A==}
    openid.sreg.requiredgender,postcode,timezone
    openid.sreg.optionalemail,country
    openid.sreg.policy_url
  9. The user is now on the provider website, and performs the step needed to authenticate, e.g. entering a password.
  10. The provider redirects the user back to the consumer website, along with parameters in the querystring. The consumer now has everything it needs to log in the user.
    noncevovudmLa
    openid.assoc_handle{HMAC-SHA1}{47b0ec92}{5hMN8A==}
    openid.identityhttp://russau.myopenid.com/
    openid.modeid_res
    openid.op_endpointhttp://www.myopenid.com/server
    openid.response_nonce2008-02-12T00:47:53ZyUUam3
    openid.return_tohttp://openidconsumer.test/cp/login.aspx?nonce=vovudmLa
    openid.sigEpvWdJtxacv2WtCaZLbud85M84k=
    openid.signedassoc_handle, identity, mode, op_endpoint, response_nonce, return_to, signed, sreg.country, sreg.email
    openid.sreg.countryAU
    openid.sreg.emailtestuser@webmail.com
    This querystring contains a couple of things to prevent an attacker from spoofing it. The 'assoc_handle' established in steps 5 and 6, the consumer uses to this look up the established secret. 'openid.sig' contains a digital signature of the parameter values listed in 'openid.signed', using the established secret. If an attacker were to change the 'openid.identity' in an attempt to login as someone else, the signature wouldn't match (without knowing the secret, the attacker cannot re-create the signature). Finally, the initial 'openid.return_to' in step 7 contained a nonce. If an attacker were to resubmit the querystring above unchanged (a replay attack), the consumer web site would know the nonce has already been used.

Further reading

Labels: ,

Thanks a lot for the very easy to understand summary covering request and response formats. It would be great if you can elobrate the role of encryption.

hi Parijat,
there's not actually any "encryption" going on here. in steps 5 & 6 the two servers establish a "shared secret" using a Diffie-Hellman key exchange. in step 9 the OpenID enabled website receives a querystring that contains a signaure using this "shared secret". so the website server can be 100% confident the querystring has come from the same server it talked to in step 5.

I should mention that with OpenID 2.0 specifications, the consumer and provider can now be the same entity, for example, Google or MySpace. And instead of end-users using a URL as an OpenID, they can click a button that says "Log in with Google" and be redirected to Google page to log in, and be redirected back to the original page logged in. This is a huge step because users don't need to set up anything different if they already have a Google, Myspace, Yahoo, etc. account.

Hi StatiK EffecK - this is a very cool feature of openid called "directed identity" - google mention it on their blog post here: http://google-code-updates.blogspot.com/2008/10/moving-another-step-closer-to-single.html

More interesting stuff google is doing with openid here: http://google-code-updates.blogspot.com/2009/05/google-openid-api-taking-next-steps.html

It's my second time in the temple tree spa and sauna, I have been dozens of time in their other parlour, and definitely the host service thai massage Dublin and the massage service is the same amazing and perfect.

terselip sudah main bandar poker online dan angkat tangan maka bakal.

memilih situs judi situs bandarq online terpercaya online yang paling baik & trick memilihnya.

Namun tak sampai setahun situs judi qq online terpercaya selanjutnya nyatanya semakin tidak sedikit perizinan tumbuh dgn online.

Dapat tenar dan poker qq populer dikalangan warga.

Ini menjadi teramat membantu situs poker terbaru sekitar penggemar dan masih permain.

Maka berikan kesempatan agen bandarq menang yang lebih akbar terhadap member.

Yang tersebar diinternet agen poker online dgn meremehkan beraneka pelayanan.

Meski seiring dgn majunya agen bandarq jaman bersama layanan jaringan.

Sejarah jalan judi online JUDI ONLINE DI INDONESIA.

Walau dapat dibilang daftar pokerpelangi permainan ini autentik sahih mengasyikan.

Anda serta harus sanggup meraih daftar pelangiqq rekomendasi bersumber beberapa permain senior.

Kewangian bergabung dengan daftar mandiridomino website judi online terpercaya dgn kiat online Cuma.

Bisa lagi pula dengan melaju daftar indosahabat jumlahnya permain yang sudah bermain dan laksanakan taruhan judi online.

Walaupun kepada ketika itu website pasarqq hanya sebentar bandar perjudi yang mampu diakses oleh peminat judi.

Meski seiring dengan situs qq majunya jaman bersama layanan jaringan.

Bisa melainkan dengan bertambah rajawaliqq jumlahnya permain yang sudah bermain dan melakukan taruhan judi online.

Era lalu belum ditemukan situs bandarjudiqq internet tengah masih kecanggihan technologi.

Maka setimbal jujur website rajaqq permain hanya memikirkan kegemilangan tak dengan.

Sejarah dari seri judi ratuqq online di indonesia pada thn 1996 dibentuklah bentuk.

Mampu tenar dan website maindomino99 ternama dikalangan warga.

Walaupun bisa dibilang daftar masterdominoqq permainan ini legal pasti mengasyikan.

Trayek perjudian campionqq satu termaksuk sedang indonesia.

Lagi pula kepada saat itu hanya sebentar daftar murahqq bandar perjudi yang dapat diakses oleh peminat judi.

Semula adanya gambar yang agen jadiqq menghasilkan anda merasakan fakta bermain judi online.

Keharuman kemasyhuran bergabung daftar ikanqq bersama website judi online terpercaya bersama metode online Cuma.

Dikala ini sudah tak situs janjiqq sebentar tertera web judi online.

Kian jalan ketika ini daftar ahliqq ini resmi menakjubkan lantaran orang telah.

Rute perjudian daftar asikqq satu termaksuk terus indonesia.

Bahkan jalan diwaktu ini indoqq ini sah menakjubkan lantaran orang telah.

Buat kalian para pecinta judi online, ayo segera daftar dan coba keberuntungan anda dengan permainan Game Poker kami & Raih Jackpot Terbesar dan Pertama Di INDONESIA. HADIAH JACKPOT CASH 60.000.000 JUTA hanya di SOBATPOKER.
Agen Poker Online Terpercaya
Judi Online
Link alternatif sobatpoker
sobatpoker

pasti bagi anda yang suka bermain judi tidak asing dengan idn poker situs judi online yang telah dipercaya banyak pemain di indonesia dengan deposit yang murah dan banyak keuntungan yang bisa di dapatkan dengan mudah. klik link di bawah ini.
http://www.aacaa7.org/daftar-poker-terpercaya-langsung-dapat-bonus-20rb-setelah-deposit/

Bagus untuk artikel dan bloggernya, Kunjungin juga yaa :



- Cerdascasino

- Cerdas Casino

- Casino Online Terpercaya

- Garasi Casino



Terimakasih warga +62 :)

bermain judi online di idn poker bisa dapat keuntungan besar dan banyak bonusnya setiap hari hanya dengan deposit 10 ribu rupiah anda sudah bisa bermain judi online di idn poker, anda juga berkesempatan mendapatkan iphone 11 + jackpot senilai 850 juta untuk 1 pemain yang beruntung, ayo klik link di bawah ini untuk bermain judi onlinei idn poker.
http://www.aacaa7.org/texas-poker-online-uang-asli-sekarang-udah-bisa-main-di-hp

hantuangka adalah blog togel yang menyediakan prediksi togel jitu, paito togel lengkap, livedraw result togel, buku tafsir mimpi lengkap, dan juga merekomendasikan bandar-bandar togel terpercaya di indonesia.. belum kenal hantuangka? mari kita berkenalan supaya bisa lebih dekat dan bisa mendapatkan prediksi jitu setiap harinya.. kunjungi www.hantuangka.org

idn poker situs judi online dengan berbagai macam keuntungan dan yang bisa anda dapatkan dengan mudah setiap hari bermain di idn poker, anda cukup modal 10 ribu saja anda sudah bisa bermain di idn poker, anda juga bisa dapat jackpot senilai 850 juta dan iphone 11 untuk 1 orang pemain yang beruntung, jika anda pensaran bisa klik link di bawah ini untuk lebih lanjuntnya.
https://shopsnoir.com/forums/users/situspoker

Awesome post. I’m a normal visitor of your site and appreciate you taking the time to maintain the excellent site. I’ll be a regular visitor for a long time.
https://ember101.com/situs-agen-judi-idn-poker-ceme-terpercaya-di-indonesia/
https://ember101.com/agen-poker-online-pokercuan-paling-untung-dengan-modal-seadanya/
https://ember101.com/game-capsa-online-uang-asli-deposit-via-dana/

It’s nearly impossible to find educated people for this topic, but you sound like you know what you’re talking about! Thanks
Agen Slot
Joker Slot
JokerVIP
Tembak Ikan
Slot online

This post is very simple to read and appreciate without leaving any details out. great work!

game android terbaik
game pc terbaik

Metode paling populersitus poker online ke web dan memperoleh yang berharga.

Nice post. It is really interesting. Thanks for sharing the post!
hasil bola
berita olahraga
dunia sport
berita trending
trens berita

taruhan dan sebagainya. Beberapa kali pertama Anda bermain poker, mungkin sulit bagi Anda untuk dapat sepenuhnya memahami apa yang terjadi di meja poker tetapi seiring berjalannya waktu, saya yakin Anda akan bisa menguasainya 98toto

This comment has been removed by the author.

ayo bergabung bersama sekarang juga berssama bandar togel terpercaya idol188

Ingin cari situs Judi online yang terpopuler, terbaik dan terpercaya di seluruh Indonsia. Yuk mari bergabung dan bermain di situs EPIKQQ ini. SItus EPIKQQ ini meneydiakan 9 permainan yang dapat di mainkan menggunakan 1 USER ID saja, permainan yang di sediakan oleh situs EPIKQQ ini ialah sebagai berikut :

1. POKER
2. DOMINO 99 / DOMINO QQ
3. BANDAR Q
4. ADU Q
5. CAPSA SUSUN
6. SAKONG
7. BANDAR POKER
8. BANDAR 66
9. PERANG BACCARAT

Selain itu situs EPIKQQ ini juga menyediakan bonus menarik, bonus yang di sediakan ialah :
1. Bonus cashback 0.3%
2. Bonus referral 20%

Minimal deposit dan tarik dana di situs EPIKQQ ini hanya cuma RP.10.000 saja anda juga sudah bisa bermain dan beradu keberuntungan hingga menangkan ratusan juta rupiah.

Mari segera bermain dan bergabung di situs EPIKQQ ini. Klik link Alternatif untuk mendaftar di bawah ini :
1. DAFTAR EPIKQQ
2. LOGIN EPIKQQ
3.DAFTAR ID PRO EPIKQQ
4. LOGIN ID PRO EPIKQQ

This sites really give me so much inspiration! the design is very nice too. i hope you can reply, and geive me tips for my website ! :)

agen joker388

Slot Online Via Pulsa

Bandar judi Sepak Bola

Judi Tembak Ikan Online

bonus besar Sepak Bola

Bandar judi Sepak Bola

game online uang asli

this site have become the biggest influence for my website. The author should be considered as one of the best. Please Contact me so i can know how you make the website.

agen joker388

Slot Online Via Pulsa

Bandar judi Sepak Bola

Judi Tembak Ikan Online

agen joker123

Bandar judi Sepak Bola

game online uang asli

well, this website is keep informing with great writing and very good interface.

game tembak ikan

game ikan

Bandar judi Sepak Bola

daftar joker123

game tembak ikan

Bandar judi Sepak Bola

game online uang asli

Having read this I believed it was very informative. I appreciate you finding the time and energy to put this article together. I once again find myself spending a lot of time both reading and posting comments. But so what, it was still worthwhile.
Taruhan Bola
Agen Bola
Casino Online

slotxo เล่นเกมได้เงินจริงสบายๆ ยิงปลาเล่นสล็อตกะแฟน ชิวๆ ลง300ได้กำไรมาพัน มีที่ไหนอะ เล่นได้ทุกที่ทั่วโลกก คือเมนูก็ไทยอีกไง เล่นง่ายๆปังๆเลยอะ

ร่วมสมัครสมาชิกรับฟรีเครดิต สล็อตxo ข้อเสนอเดิมพันฟรีไม่จะต้องฝาก ... สมัครเลยรับเครดิตฟรีในทันที โปรโมชั่นทดลองเล่นพนัน 300 ไม่จำเป็นต้องฝาก 2020

http://185.51.35.48 merupakan agen judi online menjanjikan permainan paling fairplay dan partner Terpercaya PKV games.Info situs : http://maid-right.us/__media__/js/netsoltrademark.php?d=185.51.35.48

Kumpulan Situs Judi BandarQ Online Terbaik, Terbesar, Terpercaya & Terpopuler Di Indonesia || http://maid-right.us/__media__/js/netsoltrademark.php?d=94.46.120.102

PartaiQQ adalah Situs Poker Terpercaya Indonesia Terbaik.Promo situs PartaiQQ : Bonus Cashback 0.3% Setiap Senin -Bonus Referal 20% Seumur Hidup Minimal Deposit dan Withdraw Rp. 15.000,-

Info : http://maid-right.us/__media__/js/netsoltrademark.php?d=partaiqq.link

Kumpulan Situs Judi QQ Online Terpercaya 2020 - 2021

bagi anda yang bermain dalam link https://partaiqq.mobi anda harus bermain dalam dominoqq dimana ini akan menjadi awal yang luar biasa ketika bermain.

Thanks for Sharing such an amazing article. Keep working... Your Site is very nice, and it's very helping us.. this post is unique and interesting, thank you for sharing this awesome information

Kusum Yojana | Kusum Yojana Registration

Your blog is filled with unique good articles! I was impressed how well you express your thoughts.

UP Rojgar Mela 2021, Online Registration , Sewayojan Registration @sewayojan.up.nic.in

I think this is really interesting. It's something that really made me love and read about it. สมัคร สล็อตxo

Server Pkvgame Situs Paling Mudah Menang Situs PKV Games Gampang Menang

Post a Comment