OpenID +用于 Web 应用程序和桌面/移动应用程序身份验证和授权的 OAuth

Question

我想使用 OpenID 对我的 web 应用程序上的用户进行身份验证 - 类似于 StackExchange 的做法。我还希望网站的用户能够使用同一帐户使用我的桌面和移动应用程序。我读过这需要 OAuth（OpenID 纯粹是网站）。

我不知道

• 这是正确的方法吗？
• 其工作流程是什么？
• 每个用户/OpenID 的数据库中需要哪些数据？我是否存储一个“帐户”，然后当他们使用 OpenID 进行身份验证时，我允许他们为移动应用程序生成 OAuth 令牌？

在理想的情况下，我将能够拥有类似于 https://stackoverflow.com/users/login 上的按钮我的 Web 应用程序以及我的桌面和移动应用程序都允许用户使用他们的 google 或 facebook 帐户登录，这可能吗？对用户而言，简单性至关重要，因为我的用户群无法接受任何复杂的东西。

我可以使用 DotNetOpenAuth 之类的东西来提供所有这些功能吗？

更好的解决方案是打破这种情况并允许用户使用 OpenID 对我的网站进行身份验证，然后我为我的桌面和移动客户端提供自己的 OAuth 方案吗？

Answer 1

最简单的机制可能是嵌入 Web 视图，然后简单地监视到特定回调页面的导航并以这种方式获取身份验证数据。您应该仍然可以使用 OpenID 来实现此目的。

Answer 2

您应该关注的是 Windows 身份框架 (WIF)，它对于使用基于声明的身份的 Web 或桌面应用程序的工作方式类似。您将为每个用户存储一个授权令牌（以及您需要的任何其他信息），并且您可以在经过身份验证的 HTTP 请求的授权标头中获取它。 oAuth 是用于传递授权请求和响应的协议。 WIF 是一个用于简化此交互的 .NET 工具包。

有关详细信息，请查看 WIF 主页和以下博客（不是我的）：

http: //msdn.microsoft.com/en-us/security/aa570351

http://blogs.msdn.com/b/vbertocci/

Answer 3

这是我想出的工作流程，到目前为止我认为它运作良好。

用户需要通过第三方 OpenID/Facebook/等对网站进行身份验证（移动设备友好的网站可用）。然后，在他们的“配置文件”中，他们可以生成一个 API“密钥”，他们可以将其复制/粘贴到他们的客户端软件中。它对用户来说并不是 100% 透明，但它相当不错。