これを Web サイトに実装しようとしていますが、どこかでポイントを逃したのではないかと思います。このウェブサイトはプライベートなスポーツ クラブであり、誰でもログインできるようにする必要はありません。有料のメンバーである必要があります。ただし、Open Id を使用すると、メンバーにとってすべてが簡単になる場合があります。
「Openid.php」を使用してテストを作成しましたが、すべて機能しているように見えますが、それを実際のクラブ アカウントにリンクすることについて疑問に思っています。たとえば、Google 経由でログインしている人物が本当にメンバーであることを、どのようにして知るのでしょうか?
Stack Overflow で Open Id の使用を開始したとき、それがうまく機能し、何も検証/確認する必要がなく、SO アカウントを作成したので、Google を使用してログインするだけであることに気付きました。Google 経由でログインしている人が本当に SO アカウントを作成したのと同じ人 (私) であることを確認するように求められることはありませんでした。おそらくこれは、メールアドレスを比較し、一致したので私たちが同一人物であると判断し、Open Id Google ID を保存することによって行われたと思います。
ただし、私がそのアプローチを使用する場合、悪党がクラブメンバーの電子メールアドレスを知っている場合、Open Id プロバイダーで行う必要があるのは、電子メールを一時的にクラブの電子メールに変更することだけです。メンバーは、クラブのログイン ページに移動し、関連する Open Id ボタンを使用します。すべてが一致し、参加します。電子メール アドレスは非公開ではないため、安全ではありません。
したがって、これを合理的に安全にするためには、メンバーが実際のクラブのログイン/パスワードを使用して (少なくとも 1 回) ログインし、Open Id 応答 ID を検証して保存する方法が必要であると思われます。 「はい、これは本当に私です」と効果的に言っています。
利便性は劣りますが、より安全です。私は正しいですか?