Vorrei pubblicare un sito Web solo per alcuni membri della famiglia. In poche parole, come un guazzabuglio di foto e video di famiglia. Voglio che rimanga privato, comunque.
Stavo pensando di utilizzare openid per il processo di accesso perché volevo davvero evitare:
- Memorizza nomi utente e password (Troppa manutenzione)
- Creazione di un URL offuscato che può essere prelevato dalla barra degli strumenti (Non abbastanza privato)
- Creazione di una password per accedere alla pagina (Ho avuto utenti incapaci di gestirlo)
Quindi speravo di usare openid per dire che mio fratello si collegava usando il suo account google.
Ma da quello che ho visto utilizzato per openid, non impedirebbe ad altri di accedere al sito web. Stavo pensando che forse potrei limitarlo manualmente, tuttavia questo paragrafo delle best practice della piattaforma di app Google mi ha fatto riflettere :
From a protocol perspective, both logins to the two IDPs are legitimate and the attributes returned by the 2nd IDP appear identical — the same email address, name, and so on. The only thing that differs between the two requests is the user's claimed identity. In fact, relying parties are required to verify that IDPs only return identities that they're authoritative to prevent a rogue IDP from asserting identities from other providers. But nothing prevents a rogue IDP from asserting attributes like names and email address that may not be truthful.
È aperto lo strumento "giusto" per ciò che desidero fare? (Avere un'interfaccia web privata che richiede login ma nessuna gestione utente oltre a identificare i membri della famiglia)