Безопасно ли выставлять ссылки OpenID другим пользователям?

Question

Недавно я реализовал OpenID для игры, которую я делаю (Google только в это время), и я использую lightopenid. Я запрашиваю минимальную информацию у пользователя (специально), и когда они успешно проходят проверку подлинности, я передал длинный URL-адрес, который выглядит так: https://www.google.com/accounts/o8/ud (я думаю, что это очень близко к тому, как он выглядит, t иметь доступ к базе данных прямо сейчас) с кучей случайных символов после него. Я использую этот URL как идентификатор документа в своей базе данных для быстрого поиска при входе в систему.

Я добираюсь до такой степени, что хочу добавить профили игроков на сайт, но для этого я 'd нужно публично выставлять этот длинный URL-адрес другим игрокам.

Мой вопрос в том, является ли URL-адрес, с которого я вернусь из Google, чтобы показать других пользователей, или мне нужно найти другое поле для показа пользователю?

Answer 1

Знание своего идентификатора OpenID имеет в основном те же последствия для безопасности, что и их логин. Единственное различие заключается в том, что идентификатор OpenID является URL-адресом, который указывает на какой-либо сервер, поэтому, зная, что теоретически это позволит злоумышленнику атаковать конечную точку идентификации (т. Е. Этот сервер), но это не проблема безопасности для вашего сайта.

Публикация должна быть в основном безопасной, но является ли это хорошей идеей другое дело. Удобная для чтения строка (например, псевдоним) может быть лучшим выбором для идентификатора пользователя.

Тем не менее, некоторые сайты считают, что их учетные записи пользователей являются секретными - большинство из них не являются, но это выбор, который вы должны сделать сами.