我正在为一个网站实现OpenID身份验证,我想获得用户的电子邮件地址。所有来自我们用户的电子邮件地址都是通过通常的哈希链接邮件进行的。
现在,通常OpenID提供者通过 simpleregistry 或AttributeExchange返回的电子邮件地址不是"值得信赖的",因为任何人都可以运行提供者并添加他喜欢的任何电子邮件地址的身份。但是您能确定,Google或Yahoo提供商(或者其他大型提供商)返回的地址只返回已经验证的gmail.com/yahoo.com地址,因此我可以跳过这些提供商的to-activate-click-the-hash-link过程吗?
是的,在这两种情况下,电子邮件地址都与雅虎和谷歌验证的地址相对应。以下是证实这一点的消息来源。
- http://developer.yahoo.com/blogs/ydn/posts/2009/12/yahoo_openid_now_with_attribute_exchange/
- http://code.google.com/apis/accounts/docs/OpenID.html