コンシューマーサイトがIdentity URLを取得する

コンシューマーサイトはエンドユーザーの要求するアイデンティティURLの文書を取得する。コンシューマーはheadセクションをopenid.server, openid.delegate宣言の為にパースする。

Smart, Dumb(無口)モード

OpenID認証はコンシューマーの能力に応じてsmart modeとdumb modeの両方をサポートしています。
smart modeのコンシューマーは最初にもう少し処理をして情報を保持します。しかしstate情報をローカルにキャッシュする事が必要です。*1
dumb modeのコンシューマーは完全にstatelessであるが、さらに追加でHTTP Requestを必要とします。

コンシューマーがアイデンティティを確認する

コンシューマーは現在、IdPのURLをcheckid_immediateモード(またはcheckid_setup)のURLを作り、それをUser-Agentに送ります。それらをUser-Agentに送る事によって、エンドユーザーのCookieといかなるログイン証明も信頼されたIdPに送り返されます。IdPがそれをどのように行うかはopenid.return_toによってURLをレスポンスに追加し、それをUser-Agentに送り、コンシューマーのサイトに戻します。

まとめ

全体的にこのsmart, dumbモードの違いってstatefull, statelessの違いのように読めるんですが、文章からだと確信が持てない。

またHMA-SHA1は軽くgoogleに聞いてみた所、

HMAC-SHA1（ハッシュ関数SHA1ベースのメッセージ認証コード：RFC 2104）
Hをハッシュ関数（SHA1）、Kを秘密鍵、MをメッセージとするとHMAC-SHA1の定義式は以下のようになる。ここで、ipad、opadは定められたパディング値でxorは排他ORの操作を示す。

HMAC-SHA1(K, M)＝H(K xor ipad, H(K xor opad, M))

http://www.atmarkit.co.jp/fsecurity/rensai/webserv03/webserv01a.html

だそうです。

• http://search.cpan.org/dist/Digest-HMAC/

さらにDiffel-Hellmanですが、鍵共有の暗号プロトコルだそうです。

• ディフィー・ヘルマン鍵共有 - Wikipedia
• Crypt-DH-0.07 - Diffie-Hellman key exchange system - metacpan.org

Perlでも実装がありました。