我即将在网站上实现这一点,想知道我是否在某个地方错过了这一点。该网站是一个私人体育俱乐部,我们不希望任何人登录 - 他们必须是付费会员。但是,Open Id 可能会使成员变得更简单。
我已经使用“Openid.php”构建了一个测试,这一切似乎都有效,但我想知道将其链接到真实的俱乐部帐户。它怎么知道通过谷歌登录的人真的是会员?
我注意到,当我开始在 Stack Overflow 上使用 Open Id 时,它可以正常工作,我无需验证/确认任何内容,并且创建了 SO 帐户,我可以使用 Google 登录。没有人要求我验证通过 Google 登录的人确实是创建 SO 帐户的同一个人(我)。我认为它可能通过比较电子邮件地址来做到这一点,认为它们匹配时我们是同一个人,然后存储 Open Id Google 身份。
但是,因此在我看来,如果我使用这种方法,如果流氓知道俱乐部成员的电子邮件地址,她/他需要与一些 Open Id 提供者做的只是暂时将他们的电子邮件更改为俱乐部的电子邮件会员,进入俱乐部登录页面,使用相关的 Open Id 按钮,一切都会匹配,他们就会进入。电子邮件地址不是私人的,所以不安全。
因此,在我看来,为了使这相当安全,我需要一种机制,会员使用他或她的真实俱乐部登录名/密码登录(至少一次),然后有一种验证和保存 Open Id 响应身份的方法,有效地说“是的,这真的是我”。
不太方便,但更安全。我对吗?