我想了解“使用LinkedIn登录”。我似乎只是抓住了一部分的图片。正确使用“使用LinkedIn登录”来识别我的网站上的用户?
据我所知,用户在我的网站上登录LinkedIn,LinkedIn将一个唯一的用户标识符返回给我的网站。
不知何故,我然后在我的网站上使用该标识符来标识用户。
但我不明白 - 一旦最终用户看到了标识符,什么是阻止他们直接使用,并且从未再次通过LinkedIn登录?返回的用户ID必须保密,还是可以公开显示,例如在URL中?
此外,什么是防止某人找到其他人的用户名,然后用它来访问我的网站?
好像我错过了关于如何使用从LinkedIn返回的用户ID的理解的整个板块,以及哪些问题与安全有关。
有人可以解释一下吗?
感谢
对不起,我还没有真正得到它。因此,如果我想使用LinkedIn登录我的新网站,请按照说明操作并添加“使用LinkedIn登录”功能。用户登录后,我的网页将保存其用户标识。我将这个用户ID包含到我的服务器的每个请求中。在我网站的后端,我在每个入站请求上检查这个用户ID。没有用户标识的请求未登录,因此被拒绝。请确保拥有我可以信任的登录用户标识,并且在我的数据库查询中使用该用户标识来限制访问。正确? –
基本上,您所说的所有内容都是准确的,除了“如何在每个入站请求中包含此ID”的详细信息。您可以相信linkedin的ID是正确的,但在此之后,您还必须能够相信存储在您网站上的ID仍然是您从linkedin获得的相同内容。使用用户无法编辑的服务器端来存储此ID(如PHP会话),并且您很好! 如果用户知道他们的linkedin ID(或其他人的确是 - 他们可以直接从linkedin获得这些信息),但是他们不能被允许改变它。 – rawb
那么我们需要保密LinkedIn登录后提供的用户ID吗?例如,根据用户ID创建一个URL是一个不好的主意,例如www.example.org/(linkedinuserid)这会使任何人都可以使用linkedinuserid登录到我们的应用程序吗? –