Estoy en el proceso de completar una integración con un tercero para OpenID. Hemos terminado todas las partes difíciles, y todo funciona.
Esta tercera parte, llámalos foo.com, ofrece autenticación OpenID para usuarios con inicio de sesión en su sitio, pero están autentificando y ofreciendo información sobre los usuarios en dominios que no controlan. Dominios como gmail.com, el dominio de mi compañía, y estoy seguro de que cualquier otro dominio de cualquier dirección de correo electrónico para las cuentas para las que tienen inicios de sesión.
¿Es esto kosher de acuerdo con las especificaciones de OpenID? (No puedo encontrar documentación) Me parece que foo.com proporciona autenticación OpenID para bar.com, donde foo.com y bar.com no están relacionados, y bar.com potencialmente no ofrece soporte de OpenID, parece Falta el punto completo de OpenID: solo debe autenticar las identidades de las personas cuyas cuentas controla totalmente.
Respuestas
1 para la respuesta № 1Está bien siempre y cuando la URL de identidad se refiera al OP durante el descubrimiento.
Se supone que OP no tiene ningún control sobre la identidad del usuario. Solo confirma las relaciones entre el usuario frente a la computadora y la url de identidad según su conocimiento.