OpenIDとセキュリティ――realmとreturn_toのチェックを怠るな国内でもOPが多数登場してきたこともあり、OpenIDを利用できる場面が増えてきました。OpenIDの情報がまだ不足しているためか、セキュリティ面などで抑えておきたいポイントがまだ周知なものとはなっていないように感じています。本稿では、RPからOPに対して認証アサーションリクエストが行われる過程で抑えておきたいポイントについて解説しましょう。 realm と return_to とは OpenID Authentication 2.0の「9.1. Request Parameters - OpenID Authentication 2.0 Final」に書かれていますが、RPが認証アサーション要求をする際には、通常、「realm」「return_to」という値を指定します。 例えばitmedia.co.jpがRPの場合、次のような指定をすることでOPに認証アサーションリクエストを行うことに
