Вопросы о openid и dotnetauthentication

Question

Я изучаю библиотеку openid и dotnetauthentication. Однако у меня все еще остаются нерешенные вопросы.

1. Идентификатор, который возвращается, уникален для каждого пользователя? Могу ли я сохранить этот идентификатор в базе данных в качестве userId (в настоящее время это поле является первичным ключом и уникальным идентификатором)

2. Я прочитал, что вы можете попробовать запросить информацию, такую ​​как адрес электронной почты, но вы не можете ее отдать. Что произойдет, если вам нужна эта информация?

Я думаю, что это отвратительно, если мне нужно сразу же открыть другое поле и попросить их адрес электронной почты и любые другие поля, в которых я нуждаюсь. Кажется, что это похоже на то, чтобы победить цель, поскольку я всегда считал, что преимущество openid заключается в том, что вам не нужно заполнять регистрационные формы.

1. Лучше иметь только определенные предопределенные варианты (google, yahoo, openid, facebook). Затем дайте им ввести свои собственные (т. Е. Серое поле, чтобы они вводили URL-адрес).

Я думаю об этом, потому что он возвращается к пункту номер 2, если они набирают поставщика, который не дает мне информацию, в которой я нуждаюсь. Затем я застрял.

1. Как вы регистрируетесь? Вы просто убиваете билет проверки подлинности формы?

Answer 1

ClaimedIdentifier является уникальным идентификатором, который вы должны связать с каждым пользователем и использовать для поиска, когда пользователь возвращается. Он не «продолжает меняться», как кажется некоторым людям. Если у вас есть пользователи Google и ваше доменное имя когда-либо изменилось, да, Идентифицированные идентификаторы, которые вы получаете от Google, будут изменены. Поэтому не изменяйте свое доменное имя (или, точнее, «царство», которое вы сообщаете в Google), и все будет в порядке.

Некоторые пользователи и некоторые провайдеры не захотят передавать свой адрес электронной почты. Лучший подход (ИМО) заключается в том, что вы не настаиваете на том, чтобы пользователи давали вам адрес электронной почты, но просите об этом, когда они хотят что-то сделать на вашем сайте, для которого вам нужен адрес электронной почты. Если Поставщик дает вам адрес электронной почты (и если вы сделали все правильно, что, вероятно, будет), вы можете пропустить этот шаг. Если они этого не делают, ну, вы не хуже, чем до того, как используете OpenID. Но серьезно, большой пункт продажи OpenID по-моему не, что он заполняет регистрационные формы. Это делает ваши пользователи более безопасными.

См. Is OpenID Worth It? для обсуждения этого вопроса.

Answer 2

Rob Conery имеет отличное сообщение в блоге, исследующее тему Open ID из первых рук и извлеченные уроки. Комментарии блога включают отзывы Джеффа Этвуда (Stack Overflow) и других. Это отличное чтение для технических ресурсов, которые не имеют открытого идентификатора.

Open ID Is A Nightmare -- Rob Conery