我最近为我正在制作的游戏(目前仅限Google)实施了OpenID,而我正在使用lightopenid。我要求用户提供最少的信息(故意),当他们成功进行身份验证时,我会传回一个看起来像https://www.google.com/accounts/o8/ud的长网址(我认为这非常接近它看起来像,我现在无法访问数据库)后面有一堆随机字符。我正在使用此URL作为我的数据库中的文档ID,以便在登录时快速检索。
我已经到了我想在网站上添加播放器配置文件的地步,但要做到这一点,我需要公开这个长URL给其他播放器。
我的问题是,我从Google安全返回的网址是否向其他用户显示,或者我是否需要找到另一个字段向用户公开?
答案 0 :(得分:2)
了解某人的OpenID标识符与了解其登录信息的安全隐患大致相同。唯一的区别是OpenID标识符是指向某个服务器的URL,因此知道它理论上会允许恶意用户攻击身份端点(即该服务器) - 但这不是您网站的安全问题。
发布它应该是最安全的,但是否是一个好主意是另一回事。人类可读的字符串(例如,假名)可能是用户标识符的更好选择。
也就是说,有些网站认为用户登录是一个秘密 - 大多数都没有,但这是你必须自己做出的选择。