Usando um openid em um “sistema fechado”

5

Eu gostaria de publicar um site apenas para alguns membros da família. Simplificando, como uma mistura de fotos e vídeos da família. Eu quero que ele permaneça privado, no entanto.

Eu estava pensando em usar o openid para o processo de login porque eu realmente queria evitar:

  1. Armazenando nomes de usuário e senhas (Demasiada manutenção)
  2. Criando um URL ofuscado que pode ser selecionado pela barra de ferramentas (Não privado o suficiente)
  3. Criando uma senha para acessar a página (Eu tive usuários incapazes de gerenciar isso)

Então, eu estava esperando usar o openid para dizer que meu irmão fez login usando sua conta do Google.

Mas pelo que vi openid usado, não impediria que outros acessassem o site. Eu estava pensando que talvez pudesse limitá-lo manualmente, mas este parágrafo das melhores práticas da plataforma de aplicativos do Google me faz pensar duas vezes :

From a protocol perspective, both logins to the two IDPs are legitimate and the attributes returned by the 2nd IDP appear identical — the same email address, name, and so on. The only thing that differs between the two requests is the user's claimed identity. In fact, relying parties are required to verify that IDPs only return identities that they're authoritative to prevent a rogue IDP from asserting identities from other providers. But nothing prevents a rogue IDP from asserting attributes like names and email address that may not be truthful.

O openid é a ferramenta "certa" para o que desejo fazer? (Ter uma interface web privada que requer logins, mas não gerenciamento de usuários além da identificação de membros da família)

    
por Mallow 09.08.2012 / 23:10
fonte

2 respostas

4

Você pode usar o OpenID para isso, desde que você solicite o endereço de e-mail do usuário e confirme que é de um membro da família. Então você está backend ou código de configurações deve ter uma lista de endereços de e-mail da família. Qualquer outra pessoa que se autentique no OpenID pode ser inicializada imediatamente pelo seu aplicativo da Web.

Pense no OpenID como um identificador para o usuário. A escolha de confiar e finalmente autenticar depende de você.

    
por 09.08.2012 / 23:15
fonte
-1

Concordo totalmente com Matt aqui. Você pode usar o plug-in de login social / ID aberto junto com algum tipo de funcionalidade beta privada que pode ajudá-lo a definir o acesso do usuário. O login social da LR fornece essa funcionalidade no premium:)

    
por 10.08.2012 / 12:32
fonte