可以使用OpenID来验证对网站客户区的访问吗?

时间:2010-09-24 01:09:20

标签: authentication openid

是否可以限制可以在我的网站上使用开放ID登录的用户。我有客户,我想访问我的网站上的客户区。我不希望任何有开放ID的人能够只登录我的客户。这可能吗?

2 个答案:

答案 0 :(得分:0)

OpenID用于身份验证,而非授权。我相信,你可以使它工作(*),但是你必须记住,OpenID还没有用于这类任务。

如果您想这样做,您必须限制允许的OpenID提供程序集,以防止恶意提供程序将伪造/虚假身份URL传递给您的应用程序(使用者)。

(*)如何,取决于您要强制执行限制的位置(Web服务器,Web框架等)

答案 1 :(得分:0)

执行此操作的一种方法是创建“注册”表单以验证用户。注册过程的一部分是关联您的OpenID。然后,您可以将新创建​​的帐户保留为“待处理”模式,以便管理员批准。 (注意:如果您使用不同的方式添加客户端,则可以使用该方法。

基本上,您将以与在任何其他应用程序中相同的方式为用户创建配置文件,除非您使用OpenID替换UserName / Password部分。