Реализация OpenID в пользовательском приложении PHP

Question

У меня была задана задача «Аутентификация пользователя через учетную запись Google Apps» в нашем пользовательском веб-приложении php. Пользователь должен иметь возможность входа в систему как напрямую, так и с помощью учетной записи google.

Я пытаюсь использовать openID для этого. Я прочитал про openID и нашел следующее:

В нашей таблице существующих пользователей мы добавим другое поле 'openid_identity'. При входе в систему мы отправим Google логин и пароль Google и получите ответ. Из ответа мы получим идентификатор пользователя, а затем, сопоставив его с идентификатором в базе данных, мы сможем получить информацию о пользователе.

Единственное, что не понятно:

В нашем приложении, администраторы могут создавать пользователей. Затем пользователи могут войти в систему с помощью своего электронного письма (например, john@myapp.com) и пароля.

Изначально перед использованием входа в Google поле пользователя 'openid_identity' нашего пользователя будет пустым. Как мы можем в первый раз обрабатывать логин OpenID? Что мы показываем пользователю? Страница «Регистрация с Google»? Если пользователь регистрируется со своей почтой Google (например, «john@gmail.com»), как узнать, какой пользователь он есть, из таблицы пользователей?

Answer 1

Я бы предложил реализовать другую таблицу для обработки внешних методов входа вместо добавления поля в текущую таблицу пользователей. Это отношение «один-ко-многим» поможет сделать ваше приложение более гибким: однажды вам может быть предложено добавить поддержку для Twitter, Github, Facebook, также.

Я предполагаю, что вы планируете изменить свою форму входа, чтобы представить различные методы входа, скажем, классическую форму входа в систему и кнопку «Войти с Google».

Тогда я думаю, что вы должны планировать этот случай: когда пользователь аутентифицируется с помощью Google, Google Api вернет электронное письмо пользователя, и вы проверите внешнюю таблицу входа, чтобы узнать, есть ли эта запись.

Если нет записи, вы начинаете процесс подписки на подписку как обычно, но вы можете предварительно заполнить данные пользователя тем, что у вас есть в Google. Вы сохраните как запись во внешней таблице входа, так и в своей таблице общих пользователей, которая будет связана с ними.

Если запись уже есть, вы будете рассматривать пользователя как авторизованный. Вам придется немного настроить текущий процесс проверки подлинности.

Говоря о гибкости, в конце концов, в то время как вы пишете свой код, вы можете принять во внимание идею, позволяющую каждому пользователю проходить аутентификацию с несколькими учетными записями и несколькими внешними службами.

Я бы также рассмотреть возможность использования этого композитора пакет https://packagist.org/packages/google/apiclient иметь дело с Apis Google,