iFrame中的DotNetOpenID

Question

我想知道是否有可能做一個RedirectToProvider，並讓生成的OpenID提供者頁面顯示在一個iFrame中。這將使認證流程看起來更加精簡。

我在ASP.NET MVC（VB）中使用DotNetOpenID庫。

接下來的部分是一個單獨的問題，但是是相關的。

我使用Ajax.BeginForm作爲OpenID登錄窗體，但是RedirectToProvider由於某種原因而失敗。 DotNetOpenId不適用於MVC和AJAX嗎？

Answer 1

是的，DotNetOpenId支持iframe，MVC和Ajax。與庫一起提供的OpenIdAjaxTextBox控件將顯示在其中一個示例中。它不使用iframe來顯示什麼。它將它們與checkid_immediate一起使用，以在沒有任何用戶交互的情況下嘗試隱式登錄，這是OpenID意圖支持的唯一iframe場景。

的IAuthenticationRequest.RedirectToProvider方法在內部調用ASP.NET Response.Redirect，這本身就拋出一個ThreadAbortException，這可能是爲什麼它似乎是失敗的你，而事實上，它可能是由設計工作，而是設計衝突與你」可能試着去做。

有很多方法可以完成你想做的事情，但是正如Alex Alex建議的那樣，在iframe中託管Provider的頁面時存在一個安全問題。這並不是說RP可以訪問或使用iframe的內容，因爲正如EFraim所說，除非瀏覽器存在不允許的錯誤。這兩個問題是Clickjacking，並且您正在訓練用戶被釣魚，因爲他可能會在RP的URL位於地址欄時向他的OP提供其登錄憑據，這是一件壞事。

而事實上，現在主要的OPs在iframe中被激活時故意拒絕工作，因此在完成所有工作以達到您想要的方式之後，您可能會對大多數客戶獲勝感到失望無法登錄。另外，正如你指出的那樣，彈出窗口，如果正確完成，可以幫助保持體驗用戶友好。 DotNetOpenId也可以通過幾種不同的方式實現。庫附帶的ASP.NET控件具有內置的此功能，只需在控件上設置屬性即可激活。但是，由於您使用ASP.NET MVC（我認爲），這裏就是你可以自己做：

1. 當用戶點擊頁面上的登錄按鈕，而不是發佈到當前窗口，有用Javascript打開適當大小的彈出窗口，如http://yoursite.com/openid/redirect?id=userSuppliedIdentifier。

2. 您的OpenID控制器的重定向操作將讀取該ID，對該ID執行OpenIdRelyingParty.CreateRequest，並對return IAuthenticationRequest.RedirectingResponse.AsActionResult()（MVC樣式）執行該操作。請注意，如果您希望OP的回覆回到您的OpenID控制器上的其他方法，您可以將自己的URL傳遞給CreateRequest以獲得returnTo url。

3. 當斷言返回時，您的控制器應發送關閉彈出窗口的javascript，並（根據需要）返回主窗口以更新其登錄用戶的狀態。

整個過程在DotNetOpenId附帶的ASP.NET控件中完全自動化。不幸的是，ASP.NET MVC不能像ASP.NET Web窗體那樣模塊化，所以你不必自己做所有這些工作。當然，DotNetOpenId附帶的MVC示例可以顯示如何在未來的版本中執行彈出行爲。如果你想要的話，file a wish for it。

Answer 2

問題是，OpenID提供商是否認爲這是安全風險？如果提供者頁面位於IFrame內部，則周圍的頁面可以控制該框架內發生的情況，包括嘗試捕獲某些信息。這可能是一個可能的漏洞風險。請記住，OpenID提供商對這些事情非常偏執，甚至可能試圖從這樣的IFrame中跳出來，或者只是拒絕任何進一步的登錄操作。這是他們可能不想採取的風險。 這可能嗎？如果是這樣，我認爲答案也取決於提供者。