使用 OpenID 进行站点管理

Question

因此，我在这里阅读了几个有关为您的网站/应用程序仅使用 OpenID 的利弊的问题。我读到的每个问题似乎都是在 OpenID 的背景下为您的用户/访问者提供的。我正在考虑将其也用于网络应用程序的管理部分。

这是疯了吗？

仅针对 Web 应用程序面向消费者的部分使用 OpenID（既减少开发时间并减少注册摩擦），但随后又花时间为应用程序的管理部分构建身份验证/授权系统，这似乎会适得其反。

OpenID 的管理将通过数据库中的白名单来实现，因此不是任何人都可以偶然进入管理区域并开始进行更改。

我也曾考虑过将管理（FWIW 它是作为 ASP.NET MVC 区域实现的）完全脱离应用程序并进入辅助锁定的 VPN 连接，但这似乎很极端。

Answer 1

我对 OpenID 做了同样的事情。在我的场景中，必须手动授予用户管理权限。但就基础设施而言，其他一切都与典型用户的登录工作方式相同。

只要您可以信任您的管理员正在使用的 OpenID 提供商，那么我认为这样做就足够合理了。