FAQ
La usabilidad no se lleva muy bien con la seguridad. Mientras más seguro
quieras hacer tu sistema, menos amigable será para el usuario. Hay que
lograr un balance entre ambas cosas.

Efectivamente lo mejor en este caso es utilizar una cookie, pero en la
cookie no vas a almacenar el username. Lo que tienes que hacer es crear tu
propio algoritmo que solo conozcas tu y "encripte" el identificador del
usuario, de modo que sea tu misma aplicación la que pueda desencriptarlo y
saber qué usuario está regresando a tu web.

Puede ser algo tan sencillo como un md5() del login del usuario concatenado
con la fecha exacta del último acceso al sistema, que será almacenada en
base de datos. Las posibilidades son infinitas...


2009/4/8 Javier Martinez Fernandez <ecentinela@gmail.com>
¿Alguien tiene experiencia con openID?

El caso es que estoy desarrollando una nueva web que incorpora OpenID. La
identificacion en el servidor OpenID ya la tengo y recibo los datos que
necesito.

La duda me asalta cuando quiera guardar los datos para que esté
identificado en mi web (nickname y email).

Si los guardo en variables de sesion, cada vez que vuelva a la web (despues
de haber cerrado el navegador, claro), tendrá que identificarse, lo cual veo
un engorro.
Pero si lo hago con cookies, para que la identificacion sea persistente,
creo que es muy facil hacerse pasar por otro usuario (cualquiera que sepa el
nickname y el email podria crearse una cookie en el navegador e
identificarse como tal).

¿Como lo haceis vosotros?
¿Existe alguna forma de "revalidar" al usuario en el servidor openid, sin
que el se entere (asi podria guardar tambien la contraseña y validarla al
entrar) ?

Gracias.

Search Discussions

Discussion Posts

Previous

Follow ups

Related Discussions

Discussion Navigation
viewthread | post
posts ‹ prev | 2 of 3 | next ›
Discussion Overview
groupphp-general-es @
categoriesphp
postedApr 8, '09 at 7:46p
activeApr 8, '09 at 9:28p
posts3
users3
websitephp.net

People

Translate

site design / logo © 2022 Grokbase