【发布时间】:2010-09-19 14:32:42
【问题描述】:
我需要为我正在处理的项目实施身份验证。但我无法做出选择:是否使用 OpenId。我的主要问题是如果用户已通过 OpenId 登录,如何检索用户的电子邮件(这对于发送通知至关重要)。当然,大多数 OpenId 提供者都会返回此信息,但我不能相信他们(因为任何人都可以设置 OpenId 提供者)。
我目前看到的方式是: 1. 仅支持始终返回用户电子邮件且我可以信任的 OpenId 提供商(在 OpenId 身份验证场景中激活电子邮件会很尴尬)。 2. 忘记 OpenId 并使用经典身份验证。
你怎么看?
【问题讨论】:
-
我会选择第一个选项:)
-
如果您觉得需要限制开放 ID 提供者,您应该坚持管理自己的密码数据库。
标签: authentication openid