如何在不请求 SReg 字段的情况下使用 OpenID 区分/识别用户？

Question

我一直在玩弄 JanRain OpenID PHP 库，主要关注 a tutorial I found on ZendZone。

如何区分用户 - 尤其是最终使用相同 OpenID URL https://www.google.com/accounts/o8/id 的 Google 用户？

基本上，我可以检测到他们有一个 OpenID 帐户......他们已经成功通过身份验证......但我的应用程序仍然不知道他们是谁；只是他们通过了身份验证。

为了区分用户，本教程使用“简单注册请求”来请求用户的 OpenID 提供者的电子邮件 - 然后使用电子邮件地址查看这是否是返回用户。

它对我不起作用，apparently won't work with some providers 所以当我偶然发现一个函数 getDisplayIdentifier 时我很兴奋。

require_once "Auth/OpenID/Consumer.php";
require_once "Auth/OpenID/FileStore.php";
// create file storage area for OpenID data
$store = new Auth_OpenID_FileStore('/wtv');
$consumer = new Auth_OpenID_Consumer($store);
$oid_response = $consumer->complete("http://example.com/oir_return");
if ($oid_response->status == Auth_OpenID_SUCCESS) {
    $hopefullyUniqueUserID = $oid_response->getDisplayIdentifier(); // I assumed this would be a relatively permanent way to identify the user...
                                           // I was wrong.
}

不幸的是，几个小时后，getDisplayIdentifier 返回的值发生了变化。

Answer 1

略读代码，我认为您想要的是$oid_response->identity_url。对我来说（尽管在 DotNetOpenAuth 不是 php-openid 中）返回为

https://www.google.com/accounts/o8/id?id=AItOawmqjknrgk6f9cNdPIVxW43GewJPa1ZW4GE

来自 Google，其中 ID 部分是可重现的，希望对我来说是独一无二的。但是，我还没有离开几个小时来查看这是否会发生变化，所以如果这是您已经从 getDisplayIdentifier 获得的内容，我深表歉意 - 但是浏览源代码看起来它只会使用第一部分，但我不是PHP专家。

Answer 2

问题是Google's OpenIDs are Unique Per-Domain;我一直心不在焉地在http://www.mysite.com 和http://mysite.com 之间交替，导致OpenID 身份url 发生变化！

Answer 3

为什么不简单地使用 OpenID URL 来识别用户？认为它是独一无二的，就像电子邮件地址一样。

Answer 4

根据下面的最后一段，您绝对应该使用响应对象的identity_url 属性（当然，这是参考 Python 库，但实现非常相似）：

显示标识符与声明标识符相关，但 两者并不总是相同的。显示标识符是 用户应该识别他们输入的内容，而响应的 声明的标识符（在 L{identity_url} 属性中）可能有额外的 信息以获得更好的持久性。

URL 将被剥离其片段以供显示。 XRI 将 显示人类可读的标识符 (i-name) 而不是 永久标识符（i-number）。

在您的用户界面中使用显示标识符。采用 L{identity_url} 用于查询您的数据库或授权服务器。

来自python-openid docs。