我工作的公司想要向外界发布内部网站,但也希望以一种简单的方式识别访问者。某些功能对所有访问者都可见,但大多数访问者必须可见。 (并且一些功能仅限于管理员访问者。)虽然管理层正在考虑实施我们自己的身份验证系统,但我建议只使用已有的现有技术,并使用户名/密码的管理远离我们。 (因为当我们讨论安全问题时,我们只是业余爱好者。身份验证需要非常好。)
所以我从Google开始使用OpenID并检查了他们提供的库。看起来很容易使用,我可以获得告诉我用户已通过身份验证的令牌。但是,如何识别此用户,以便将我们的个人资料信息链接到他的ID /令牌/随便?
我知道我遗漏了一些东西,所以要保持简单:我只需要一些示例,说明如何使用Google对访问者进行身份验证,然后获取一些可以用来永久链接到此用户的令牌。 (因此,没有会话令牌。)然后,此令牌可以用于用户填写他/她的个人资料。
答案 0 :(得分:4)
由于您的代码表明您的语言是C#,因此我建议使用DotNetOpenAuth。它是免费的,包含的示例将向您展示如何获取您的令牌(在OpenID中称为被声称标识符),您可以使用它来区分用户。
要获取声明的标识符(您正在查找的永久标识符),如果您正在使用OpenIdTextBox或OpenIdLogin控件,则只需处理其LoggedIn事件并获取e.ClaimedIdentifier属性。如果您以编程方式(无控件)执行此操作,OpenIdRelyingParty.GetResponse()方法将返回一个IAuthenticationResponse接口,该接口上有一个ClaimedIdentifier属性。
然后,您可以实现一个ASP.NET RoleProvider(非常简单,非常简单),允许一些OpenID声明的标识符属于一个管理员角色,允许您的标准ASP.NET授权技术根据它们的方式逐步锁定个人经过认证。