谷歌OpenID openid.return_to

Question

如果我理解正确的话，如果用户批准了身份验证，谷歌会将用户带到openid.return_to中指定的位置。这是否意味着openid.return_to可能是会员区的网址？Google是否会创建cookie或其他东西来指示用户已通过身份验证？如果不是，我如何判断到达会员区的用户是否真的是通过OpenID登录的真正谷歌用户？

Answer 1

在返回url之后，你应该验证它确实来自Google。然后，如果验证成功，则可以假定用户已登录。否则，用户要么取消了身份验证，要么发送了假断言，或者只是身份验证过程出现了问题。

至于它是会员区的url -它可以是任何url，但它被访问的事实并不意味着用户已经登录。同样，您必须首先对其进行验证。

这是一个相当复杂的过程，并且依赖于前面的身份验证步骤，所以除非您想使用read the specification，否则最好使用openid library来完成此操作。