Caso de uso de OpenID
Estoy un poco confundido/a acerca del caso de uso de OpenID.
Digo, si un usuario inicia sesión en una aplicación web usando OpenID, ¿debería esta aplicación web crear una cuenta para el usuario?
1). Si debería hacerlo, entonces ¿cuál es la diferencia entre usar OpenID y usar OAuth (configurando el alcance en “perfil”) para obtener la información del usuario y luego crear una cuenta para el usuario? (más tarde, el inicio de sesión puede utilizar una clave única del perfil/ID token para encontrar al usuario en la base de datos)
2). Si no debería hacerlo, entonces, si el usuario cierra sesión y luego inicia sesión nuevamente usando OpenID, toda la actividad que el usuario hizo previamente (por ejemplo, guardar algunos artículos para leer más tarde) desaparece (asumiendo que no se establece ninguna cookie/sesión, ya que están limitadas a un dispositivo). Si esto es así, ¿cuál es el punto de la autenticación bajo este escenario?
Entiendo que OpenID es una extensión de OAuth, diseñada específicamente para la autenticación, pero ¿cuándo y cómo debería usar OpenID para la autenticación?
Gracias.
davy.ai
Como experto en tecnología de la información especializado en autenticación, OpenID es una herramienta valiosa en tu arsenal. Aquí hay algunos puntos que aclararán tu confusión con respecto a los casos de uso de OpenID:
Uso de OpenID para el inicio de sesión de usuario en una aplicación web
Sí, la aplicación web debe crear una cuenta para el usuario al iniciar sesión utilizando OpenID. La diferencia entre el uso de OpenID y Oauth es que OpenID está específicamente diseñado para la autenticación de usuarios, mientras que Oauth es un protocolo de autenticación y autorización de propósito más general. En OpenID, la identidad del usuario es verificada por el proveedor de OpenID y la aplicación web crea una cuenta basada en esta identidad verificada. En contraste, Oauth permite a un usuario otorgar acceso a una aplicación de terceros para acceder a su cuenta en otro sitio web, pero no verifica la identidad del usuario en sí.
Uso de OpenID cuando un usuario cierra sesión y vuelve a iniciar sesión
Si el usuario cierra sesión y luego vuelve a iniciar sesión utilizando OpenID, la aplicación web debe conservar el historial de actividad del usuario. Esto se puede hacer configurando una cookie o una sesión única para el usuario para hacer un seguimiento de sus actividades. Si no se establece ninguna cookie o sesión, entonces la aplicación web no recordará las actividades del usuario y este tendrá que comenzar desde cero cada vez que inicie sesión. El punto de la autenticación es asegurarse de que el usuario sea quien dice ser, y no realizar un seguimiento de sus actividades en la aplicación web.
Cuándo y cómo utilizar OpenID para la autenticación
OpenID es una excelente herramienta para la autenticación de usuarios cuando una aplicación web desea permitir que los usuarios inicien sesión utilizando cuentas existentes de un sitio web de terceros. De esta manera, los usuarios no tienen que crear nuevas cuentas y contraseñas para cada sitio web que utilizan; pueden iniciar sesión utilizando las mismas credenciales que ya han configurado para otro sitio web. OpenID también es útil en casos en los que los usuarios pueden no confiar en la aplicación web con sus credenciales de inicio de sesión, ya que el proveedor de OpenID es responsable de verificar la identidad del usuario, no la aplicación web.
En conclusión, OpenID es una herramienta invaluable para la autenticación de usuarios cuando una aplicación web desea permitir que los usuarios inicien sesión sin necesidad de crear nuevas cuentas y contraseñas. Al verificar la identidad del usuario con un proveedor externo, la aplicación web puede asegurarse de que los usuarios sean quienes dicen ser sin necesidad de manejar las credenciales de inicio de sesión directamente.