我最近写了一个应用程序,它依赖于 OpenID 进行身份验证。如今,许多 Web 应用程序都在迁移到 OpenID,因为它们已经具有用户 ID/密码身份验证方案,而 OpenID 只是一个附加组件。由于我的应用程序是一个新应用程序,因此我认为当我可以完全依赖 OpenID 进行所有身份验证时,编写基于用户 ID/密码的单独身份验证机制是没有意义的。
但肯定的是,一旦我向客户展示了应用程序,她就问“好吧,我们如何创建用户帐户并重置他们的密码”?从概念上讲,如果用户还没有 OpenID,她不想让他们创建自己的 OpenID。
我对此有一种预先做出的回应,那就是:“你总是可以运行你自己的 OpenID 服务器”。我想我并没有在这个答案上考虑太多,因为 OpenID 服务器的许多实现都非常原始,需要大量工作才能在生产中运行。
所以,我的问题是:这里有没有人有运行私有 OpenID 服务器的经验,纯粹是为了验证她自己的用户。以下是我正在寻找的开箱即用支持的功能:
这并不能直接回答他们的问题,但是有多少人在互联网上并且没有 Yahoo、Flickr、AIM、WordPress、Myspace、Google 或 MSN 的帐户?他们都是 OpenID 提供者。
我认为对于不使用这些服务的极少数“网络人口”,只需将他们指向 Vidoop 或 MyOpenID 并让他们在已经拥有安全基础设施的人那里获得一个帐户。
这是我最初的想法......但是该应用程序是针对非互联网极客类型的用户,因此期望他们可能拥有也可能没有上述任何帐户。
另一件事是:MyOpenID 为您提供了一个简洁、漂亮的 URL,而 Yahoo(例如)却没有。即使您知道某人拥有 yahoo 帐户,您也不能只使用 username.yahoo.com。谷歌也是一样的——你必须首先使用你的谷歌账户来激活一个 blogspot 账户,然后你有一个 OpenID,它可能与你的 gogle id 相关,也可能很多不相关。所以,如果你有一个用户列表,即使你知道他们都在 google 或 yahoo 上——即使这样你也不能对他们的 OpenID url 做出假设
我在自己的应用程序中使用 OpenID,但如果我要去客户那里,他们提出了有关拥有密码和其他东西的问题,我可能会告诉他们供应商会为他们处理这些问题。如果他们不喜欢这个主意,我会向他们收取设置会员系统所需的额外时间。这样您就可以收取更多费用,并且您会拥有满意的客户。我不认为公众会在未来几年内了解 OpenId。
有现成的框架。你只需要把它们放在一起。这可以快速完成。
你没有写你的平台,但如果你喜欢使用 php,那么看看“zend framework”或“php openid”