Вопросы по openid и dotnetauthentication

Question

Я смотрю в библиотеку openid и dotnetauthentication.Однако я все еще отвечаю на несколько нерешенных вопросов.

1. возвращаемый идентификатор уникален для каждого пользователя?Могу ли я сохранить этот идентификатор в базе данных как userId (в настоящее время это поле является первичным ключом и уникальным идентификатором)

2. Я прочитал, что вы можете попытаться запросить такую ​​информацию, как адрес электронной почты, но выможет не дать это вам.Что произойдет, если вам нужна эта информация?

Я думаю, это отстой, если мне нужно сразу же всплыть в другом поле и спросить их адрес электронной почты и любые другие поля, которые мне нужны.Похоже, что-то вроде победы над целью, так как я всегда считал преимуществом openid то, что вам не нужно заполнять регистрационные формы.

1. Лучше ли иметь только несколько предопределенных вариантов (Google, Yahoo, OpenID, Facebook).Затем позволяя им вводить свои собственные (то есть, выделять серым цветом поле, чтобы они могли ввести URL).

Я думаю об этом, потому что он возвращается к пункту 2, если они набираютпровайдер, который не дает мне нужную мне информацию, застрял.

1. Как вы выходите из системы?Вы просто убиваете билет проверки подлинности формы?

Answer 1

ClaimedIdentifier - это уникальный идентификатор, который вы должны связать с каждым пользователем и использовать для поиска, когда пользователь вернется. Это не «продолжает меняться», как некоторые люди, кажется, верят. Если у вас есть пользователи Google и ваше доменное имя когда-либо изменяется, да, идентифицированные вами идентификаторы, которые вы получаете от Google, изменятся. Поэтому не меняйте свое доменное имя (или, точнее, «область», о которой вы сообщаете в Google), и все будет в порядке.

Некоторые пользователи и некоторые провайдеры не хотят передавать свой адрес электронной почты. Наилучший подход (IMO) заключается в том, что вы не настаиваете на том, чтобы пользователи давали вам адрес электронной почты, а просите его, когда они хотят сделать что-то на вашем сайте, для чего вам требуется адрес электронной почты. Если поставщик предоставит вам адрес электронной почты (и если вы все сделали правильно, вероятно, так и будет), вы можете пропустить этот шаг. Если нет, то вы ничем не хуже, чем раньше, когда использовали OpenID. А если серьезно, то, на мой взгляд, большой смысл продажи OpenID не в том, что заполняет регистрационные формы. Дело в том, что это делает ваших пользователей более защищенными.

См. Стоит ли OpenID? для обсуждения этого вопроса.

Answer 2

У Роба Конери есть отличный пост в блоге, посвященный теме Open ID из личного опыта и извлеченных уроков. Комментарии блога включают в себя отзывы Джеффа Этвуда (Stack Overflow) и других. Это отличная статья для технических ресурсов, которые не знакомы с Open ID.

Открытый идентификатор - это кошмар - Роб Конери