Tôi muốn triển khai xác thực người dùng bằng cách sử dụng OpenID.Triển khai OpenID. Có điều gì độc đáo để xác định người dùng không?
Có điều gì độc đáo trong dữ liệu người dùng mà OpenID cung cấp mà tôi có thể sử dụng làm chìa khóa để ghi nhớ và xác định người dùng không? Tôi đã nghĩ đến việc sử dụng email nhưng người dùng có thể thay đổi nó.
Nhận dạng OpenID của người dùng là những gì bạn nên sử dụng cho mục đích này.
Đây là URL được nhập làm nhận dạng hoặc được trả lại dưới dạng claimed_id khi khả dụng. Trong cả hai trường hợp, chỉ lưu trữ danh tính chỉ sau khi xác thực thành công.
Tham khảo mục 7.2 và 7.3 của OpenID 2.0 Specification để biết thêm thông tin.
Tuy nhiên, như được chỉ ra bởi Stephen trong các nhận xét, bạn sẽ cần tự tạo một ID duy nhất nếu bạn muốn liên kết nhiều danh tính với một người dùng.
Nếu bạn cần mã định danh duy nhất để người dùng có thể thay đổi OpenID, bạn chỉ cần tạo ID duy nhất của riêng mình (nếu bạn đang lưu trữ trong cơ sở dữ liệu, bạn có thể chỉ cần sử dụng tự động số nguyên được tạo). –
Bạn nên luôn sử dụng * chính xác * thông tin bạn nhận được trong tham số 'openid.claimed_id' từ nhà cung cấp làm mã định danh duy nhất cho tài khoản người dùng này - ngay cả khi bạn tổng hợp nó với các số nhận dạng khác mà bạn biết vào một tài khoản người dùng. Đừng bao giờ sử dụng mã nhận dạng mà người dùng đã nhập vào hộp văn bản, vì điều đó mở ra cho bạn nhiều lỗ hổng bảo mật. Và tất nhiên, xác minh xác nhận bao gồm khám phá trên claim_id mới. Vẫn còn tốt hơn, * sử dụng thư viện * đã được viết. Có vẻ như bạn chưa đọc thông số kỹ thuật. Đừng viết OpenID w/o đọc spec! Hoặc chỉ sử dụng thư viện. –