Usando un openid in un "sistema chiuso"

5

Vorrei pubblicare un sito Web solo per alcuni membri della famiglia. In poche parole, come un guazzabuglio di foto e video di famiglia. Voglio che rimanga privato, comunque.

Stavo pensando di utilizzare openid per il processo di accesso perché volevo davvero evitare:

  1. Memorizza nomi utente e password (Troppa manutenzione)
  2. Creazione di un URL offuscato che può essere prelevato dalla barra degli strumenti (Non abbastanza privato)
  3. Creazione di una password per accedere alla pagina (Ho avuto utenti incapaci di gestirlo)

Quindi speravo di usare openid per dire che mio fratello si collegava usando il suo account google.

Ma da quello che ho visto utilizzato per openid, non impedirebbe ad altri di accedere al sito web. Stavo pensando che forse potrei limitarlo manualmente, tuttavia questo paragrafo delle best practice della piattaforma di app Google mi ha fatto riflettere :

From a protocol perspective, both logins to the two IDPs are legitimate and the attributes returned by the 2nd IDP appear identical — the same email address, name, and so on. The only thing that differs between the two requests is the user's claimed identity. In fact, relying parties are required to verify that IDPs only return identities that they're authoritative to prevent a rogue IDP from asserting identities from other providers. But nothing prevents a rogue IDP from asserting attributes like names and email address that may not be truthful.

È aperto lo strumento "giusto" per ciò che desidero fare? (Avere un'interfaccia web privata che richiede login ma nessuna gestione utente oltre a identificare i membri della famiglia)

    
posta Mallow 09.08.2012 - 23:10
fonte

2 risposte

4

È possibile utilizzare OpenID per questo finché si richiede l'indirizzo e-mail dell'utente e si conferma che è di un membro della famiglia. Quindi tu sei backend o il codice delle impostazioni dovrebbe avere un elenco di indirizzi email di famiglia. Chiunque altro autentica su OpenID potrebbe immediatamente essere avviato dalla tua applicazione web.

Pensa a OpenID come identificatore per l'utente. La scelta di fidarsi e finalmente autenticarsi dipende da te.

    
risposta data 09.08.2012 - 23:15
fonte
-1

Totalmente d'accordo con Matt qui. È possibile utilizzare il plugin di accesso social / Open ID insieme a una sorta di funzionalità beta privata che può aiutare a definire l'accesso per l'utente. Accesso social LR offre questa funzionalità anche se premium:)

    
risposta data 10.08.2012 - 12:32
fonte

Leggi altre domande sui tag