对这些open id的工作原理感到困惑。

Question

有人能解释一下这些开放式身份识别系统是如何工作的吗？

当用户重定向到openid提供商并进行身份验证时，提供商会将什么内容发送回发起网站？是网站验证的一些加密文本，还是必须与open-id提供商进行实际通信才能验证？

Answer 1

如果你对所有血淋淋的细节感兴趣，你可以查看spec here。

不过，从更高的层次来看，它非常简单(这里改写自the 2.0 spec's overview)：

1. 站点将用户重定向到OpenID提供程序，以及身份验证请求
2. OpenID提供程序尝试对用户进行身份验证
3. OpenID提供程序将用户重定向到站点，以及有关身份验证是成功还是失败的信息。
4. 站点随后验证此信息，检查从响应中返回的一些字段，并向OpenID提供程序发出直接请求(不通过用户浏览器的请求)；所有这些都是为了防止欺骗和类似

<代码>G211

因此，第一步和第二步非常简单，但后两步有一些复杂性。来自步骤3的响应特别包含"nonce“字段，该字段对于请求是唯一的，以及站点随后将验证的几个字段。此验证在步骤四中进行，其中进行了一些检查。值得注意的是，返回的URL和签名。

当然，在引擎盖下还有更多的信息在进行，但如果这是你想要的信息，那么规范是最好的地方。