Запрос имени пользователя или уникального идентификатора перед OAUTH / OpenID-Connect

Question

Я создаю веб-сайт, который использует OAuth2.0 и OpenId-Connect (какого-либо стороннего поставщика) для аутентификации пользователя.

Прежде чем перенаправить пользователя на страницу OAuth поставщика, я не прошу пользователя вводить уникальный идентификатор пользователя на моем веб-сайте, я думал об использовании адреса электронной почты пользователя, который я получаю как часть IDToken после авторизации.Процесс завершен, как имя пользователя (уникальный идентификатор) для моего сайта.

Но спецификация OpenID здесь
https://openid.net/specs/openid-connect-core-1_0.html#ScopeClaims

говорит, что emailid является необязательным и не может быть возвращен.

Таким образом, вопрос заключается в том, является ли стандартной практикой просить пользователя предоставить уникальное имя (которое я могу использовать в качестве идентификатора пользователя на моем веб-сайте), прежде чем инициировать процесс OAUTH / OpenID-Connect?

Answer 1

Чтобы добавить дополнительную информацию, каждый провайдер OpenID-подключения должен предоставить конечную точку / userinfo для получения информации о пользователях с использованием токена доступа.

вот спецификация
https://openid.net/specs/openid-connect-core-1_0.html#UserInfo

Answer 2

Заявка sub должна быть уникальной для iss uer. Требуемые претензии будут присутствовать всегда.Вы можете использовать субстанцию ​​iss + для уникальной идентификации пользователей.