重新思考用户登录过程:用户/显示名称和OpenID

Question

使用openID带来了一些问题，我希望SO社区能帮我回答。

OpenID和(现已过时的)用户名

据我所知，openID的主要目标之一是消除某些人为他们只能使用一次的站点创建另一个用户名和密码的需要。虽然我认为这是一个非常棒的想法，但它确实引起了一点混乱。

用户名不仅用作身份验证设备(登录凭据)，而且还用作将用户标识为网站上的创建内容(评论、线程帖子等)的手段。

My Concerns

，

1. ，当他们在网站上移动时，我用什么识别他们？在注册我的网站时，我还会要求他们选择用户名吗?我注意到，在类似这样的网站上，使用的是“显示名”而不是用户名。这是一个用户可以更改的字段。当用户决定更改显示name?

时，如何避免混淆

​

限制谁可以登录到您的站点，即使他们有一个有效的OpenID

想象一下以下场景：

• 你有一个网站，你只想让你和三个朋友能够访问。
• 在传统的用户身份验证设置中，您将手动为您的三个朋友创建帐户，然后发送电子邮件给他们的登录凭据。但是，在本例中，您希望它们使用openID.

。

我的问题

1. 如何将openID身份验证限制在诗歌的一个非常特定的子集上?如何为尚未使用OpenID?

对您的站点进行身份验证的用户设置帐户？

再次感谢，所以社区为您的时间和帮助这一点。你们太棒了。

Answer 1

Ebay有一种方法可以避免名称更改(或几年前)的混淆/欺诈。30天或诸如此类的事，在你的名字旁边有一个徽章，上面写着你刚改了名字。如果你愿意，你甚至可以提供全名历史记录。

至于限制访问，他们仍然在您的网站上的帐户，是由您的网站的代码创建。OpenID只是提供了身份验证机制。您仍然可以要求，比方说，所有新用户在访问站点的重要部分之前都要经过管理员的验证。

另一种描述它的方法是将身份验证和授权看作是两个不同的概念。OpenID只涉及身份验证。您的站点将管理经过身份验证的帐户的授权。

Answer 2

如何将openID身份验证限制在一个非常特定的诗歌子集上？

你就不能为他们开个账户，并禁用注册，这样只有他们才能登录吗？在使用OpenID时，您仍然有用户帐户，因此您可以执行与正常操作类似的限制。您可以使用类似于用户名的OpenID，并且只允许某些OpenID注册/登录。

如何为尚未使用OpenID对您的站点进行身份验证的用户设置帐户？

在注册过程中，我可能会要求一个显示名称。一些OpenID提供程序在身份验证后将显示名称传回给您，如果您的站点上还没有使用该名称，您可能会使用它。