3

我最近为我正在制作的游戏实现了 OpenID(目前只有 Google),并且我正在使用lightopenid。我要求用户返回最少的信息(故意),当他们成功进行身份验证时,我会传回一个看起来像这样的长 URL https://www.google.com/accounts/o8/ud(我认为这非常接近它的样子,我不现在可以访问数据库)后面有一堆随机字符。我使用这个 URL 作为我数据库中的文档 ID,以便在登录时快速检索。

我已经到了想在网站上添加玩家资料的地步,但要做到这一点,我需要向其他玩家公开这个长 URL。

我的问题是,我从 Google 返回的 URL 是否可以安全地显示给其他用户,或者我是否需要找到另一个字段来向用户公开?

4

1 回答 1

2

知道某人的 OpenID 标识符与知道他们的登录信息具有几乎相同的安全含义。唯一的区别是 OpenID 标识符是指向某个服务器的 url,因此知道它理论上会允许恶意用户攻击身份端点(即该服务器)——但这不是您网站的安全问题。

发布它应该是最安全的,但它是否是一个好主意是另一回事。人类可读的字符串(例如,化名)可能是用户标识符的更好选择。

也就是说,一些网站认为他们用户的登录是一个秘密——大多数人不这样认为,但这是你必须自己做出的选择。

于 2014-01-23T18:10:26.333 回答