所以我在这里阅读了几个关于为您的网站/应用程序仅使用 OpenID 的利弊的问题。我读到的每个问题似乎都是在 OpenID 的背景下为您的用户/访问者提供的。我正在考虑将其也用于网络应用程序的管理部分。
这疯了吗?
仅针对我们的网络应用程序面向消费者的部分使用 OpenID(以减少开发时间并减少注册摩擦),然后花时间为我们的管理部分构建身份验证/授权系统,这似乎会适得其反。应用程序。
OpenID 的管理将通过数据库中的白名单来实现,因此不是任何人都可以偶然进入管理区域并开始进行更改。
我也曾考虑过将管理(FWIW 它是作为 ASP.NET MVC 区域实现的)完全脱离应用程序并进入辅助锁定的 VPN 连接,但这似乎有些极端。
最佳答案
我对 OpenID 做了同样的事情。在我的场景中,必须手动授予用户管理权限。但就基础设施而言,其他一切都与典型用户的登录工作方式相同。
只要您可以信任您的管理员正在使用的 OpenID 提供商,那么我认为这样做就足够合理了。
关于architecture - 使用 OpenID 进行站点管理,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4115244/