Implementierung von OpenID: identifizieren von Benutzern
Firma für die ich arbeite möchte die Veröffentlichung eines internen website für die Außenwelt, aber auch die will identifizieren Sie die Besucher in einigen einfachen Weg. Einige Funktionen werden sichtbar für alle Besucher, aber die meisten müssen sichtbar für angemeldete Besucher. (Und einige Funktionen eingeschränkt auf admin-Besucher.) Während das management erwägt, die Umsetzung unserer eigenen Authentifizierungs-system, das ich vorgeschlagen habe, nur mit einer vorhandenen Technologie, die bereits verfügbar und was hält die Verwaltung von Benutzernamen/Passwörter von uns entfernt. (Denn wir sind nur Amateure, wenn wir über Sicherheit reden. Die Authentifizierung muss sehr gut sein.)
So begann ich mit OpenID von Google und untersucht die Bibliothek, die Sie bieten. Sieht einfach zu bedienen und ich kann tokens Holen, die mir sagen, dass ein Benutzer authentifiziert ist. Aber wie identifiziere ich diese user, so kann ich link unser Profil Informationen, um seine ID/Tokens/Was auch immer?
Ich weiß, ich bin etwas fehlt, so halten Sie es einfach: ich brauche nur einige Beispiel, das zeigt, wie die Authentifizierung der Besucher mit Google und dann bekommen einige token zurück, die ich verwenden können, um die Verbindung zu diesem Benutzer für immer. (Also keine session-token.) Dieses token könnte dann verwendet werden, für die der Benutzer zum ausfüllen in seinem/Ihrem Profil.
- Ich bin verwirrt, wo Sie sprechen über "Google" hier. Es sieht aus wie wenn Sie sagen "OpenID von Google" meinst du "das DotNetOpenAuth Bibliothek verwaltet von Andrew Arnott und gehostet auf Google Code." Aber ich bin mir nicht sicher, was Sie meinen, wenn Sie sagen "die Authentifizierung der Besucher mit Google." Meinst du, Sie brauchen Ihre Benutzer müssen nur die Google Konten und nicht OpenIDs anderer Anbieter? Wenn Sie nur "einige token" es klingt nicht wie Sie Ihre gmail-Adresse oder nichts.
- Eigentlich, denn jetzt habe ich nur wollen, um es einfach zu halten und unterstützen nur Google OpenID. Das Projekt ist noch ein proof-of-concept und ich bin tryiong zu überzeugen-management zu verwenden OpenID statt, um die Umsetzung unserer eigenen Authentifizierungs-system. Dann wieder, OpenID ist ein offener standard, also sollte es nicht schwierig sein, die es bei anderen Anbietern auch...
Du musst angemeldet sein, um einen Kommentar abzugeben.
Da Ihr tags schlage vor, Sie sind die Sprache ist C#, ich empfehle DotNetOpenAuth. Es ist kostenlos und enthält Beispiele, die Ihnen zeigen, wie Sie Ihre token (im OpenID Bedingungen, es heißt Behauptete Identifier), die Sie verwenden können, um eine Unterscheidung zwischen Benutzern.
Um die Behauptete Bezeichner (also dem permanenten Kennung, die Sie suchen), wenn Sie mit der
OpenIdTextBoxoderOpenIdLoginKontrolle nur behandeln Ihre LoggedIn-Ereignisses und bekommst die Email.ClaimedIdentifier Eigenschaft. Wenn Sie es tun, programmgesteuert (ohne Steuerelemente), dieOpenIdRelyingParty.GetResponse()Methode gibt einIAuthenticationResponseSchnittstelle, die eineClaimedIdentifierauf Ihr Eigentum, die Sie bekommen können.Dann können Sie implementieren eine ASP.NET RoleProvider (ziemlich trivial, wirklich), mit denen einige OpenID Behauptet-IDS gehören zu einem admin-Rolle, so dass Sie Ihre standard-ASP.NET Autorisierungs-Techniken schrittweise zu sperren Personen, die basieren auf, wie Sie sich authentifiziert haben.