Google OpenID openid.return_to

Question

私が正しく理解している場合、ユーザーが認証を承認すると、Googleはユーザーをopenid.return_toで指定された場所に移動させます。それは、openid.return_toがメンバーエリアのURLになることを意味しますか？ Googleはユーザーが認証に合格したことを示すクッキーなどを作成しますか？そうでない場合は、メンバーエリアに到着したユーザーがOpenID経由でログインした本当のGoogleユーザーであるかどうかをどのようにして知ることができますか？

Answer 1

URLに戻った後は、本当にGoogleから来ていることを確認するはずです。認証が成功した場合は、ユーザーがログインしているとみなすことができます。そうでない場合は、認証をキャンセルするか、偽のアサーションを送信するか、認証プロセスに何か問題があります。

メンバーのエリアへのURLとしてはどんなURLでもかまいませんが、アクセスされているということはユーザーがログインしているという意味ではありません。最初に確認する必要があります。

これは非常に複雑なプロセスで、認証の前の手順に依存します。read the specificationを使用しない場合は、openid libraryを使用することをお勧めします。