使用 OpenID 进行站点管理

Question

所以我在这里阅读了几个关于仅将 OpenID 用于您的网站/应用程序的利弊的问题。我读到的每个问题似乎都与您的用户/访问者的 OpenID 相关。我正在考虑将它也用于网络应用程序的管理部分。

这是疯了吗？

只为我们的网络应用面向消费者的部分使用 OpenID 似乎适得其反（以减少开发时间和减少注册摩擦），但随后花时间为我们的管理部分构建身份验证/授权系统应用程序。

使用 OpenID 的管理将通过数据库中的白名单来实现，因此不是任何人都可以偶然进入管理区域并开始进行更改。

我还考虑过将管理（FWIW 它作为 ASP.NET MVC 区域实现）完全脱离应用程序并进入二级锁定 VPN 连接的想法，但这似乎很极端。

Answer 1

我对 OpenID 做了同样的事情。在我的场景中，必须手动授予用户管理权限。但就基础设施而言，其他一切都与典型用户登录的工作方式相同。

只要您可以信任您的管理员正在使用的 OpenID 提供程序，那么我认为这样做就足够合理了。