我们正在开发一个Web系统,并考虑使用“开放ID”功能。您认为这比登录用户的常规方式更好吗?如果我们使用Open Id功能,则意味着用户将被重定向到他们选择的Open Id提供程序的站点,这将采取更多措施。然后,他们必须在那里登录并重定向回我们的网站。用户对此感到满意吗?
注意:它更多是一个社交网站,但没有任何庞大的内容。
我们正在开发一个Web系统,并考虑使用“开放ID”功能。您认为这比登录用户的常规方式更好吗?如果我们使用Open Id功能,则意味着用户将被重定向到他们选择的Open Id提供程序的站点,这将采取更多措施。然后,他们必须在那里登录并重定向回我们的网站。用户对此感到满意吗?
注意:它更多是一个社交网站,但没有任何庞大的内容。
Answers:
我喜欢OpenID,它绝对比“传统”的每站点凭据隐喻更好。我不想管理更多的凭据,也不想信任J。随机站点存储我安全提供的凭据。我认为随着它变得越来越普遍,用户将对它更加满意。希望它变得更加普遍。
如果我们错了,请指出。
负面意见
正面意见
OpenID提供了许多优点,其中最主要的优点是使您懒于身份验证。授权仍然是您的问题,但至少不必担心安全存储凭据。我认为这是一件好事。“网络需要更多的“依赖方”,例如serverfault。
我通常会用OpenID来说明这一点,您通常希望获得OAuth,这会在犯罪方面造成低估。
其他人已经对OpenID进行了详尽的阐述,OAuth补充说另一个站点不仅通过OpenID提供者知道您是谁,而且您还可以告诉所涉及的站点允许您了解什么。
可能还好。那些呢:
因此,OpenID + OAuth是一个很好的组合,不仅可以使用一个位置来保存用户名和密码,还可以在其中保存有关您自己的详细信息,并且不会丢失有关哪个站点可以访问有关您的详细信息的概述。
我可以考虑一下OpenID会在现场赢得许多用户的情况。假设一个主要站点向恶意黑客[*]丢失了数百万个用户密码,并且该列表泄漏了出去。大多数用户会感到恐慌,不仅因为一个特定的帐户,而且因为他们对多个站点使用相同的登录名/密码。他们做到了。我知道,我知道。而且我没有跟踪这些帐户,因此结果是我永远无法更改密码。
现在,当我知道小人可以窃取我的帐户时,我该怎么办?我将尝试完成更改密码的繁重任务。或者,我会偶然发现OpenID概念,并尝试转换所有这些帐户。这意味着我实际上仍然对多个站点只有一个登录名/密码,但是现在我至少可以轻松地在所有站点中更改密码。万一邪恶的黑客窃取了我的OpenID,我有一个问题可以要求重置密码或至少禁用帐户。
[*]-阅读:脚本小子
我访问各种网站的次数越多,我越想要单点登录功能。
每个网站都认为自己的网站最重要。每个网站都坚持要求您先创建一个帐户,然后才能进行任何操作。StackOverflow,Serverfault,Wikipedia,WowWiki,Wowhead,MS论坛,CodeProject,CodePlex等……
他们都要求我创建一个唯一的用户名,密码,并在我的电子邮件地址上创建分支。然后他们坚持要求我先检查我的电子邮件,然后再让我发布,编辑,下载,单击,评论,评分等。没有理由不让我在进入网站后立即使用您的网站。
我只希望他们都闭嘴。我想要一个我可以随处使用的登录名,并且电子邮件地址是一个黑洞,因此我永远不必阅读它们的垃圾。
OpenID似乎就是那样。但是只有在Google支持的情况下才有可能。在此之前,这是StackOverflow自己的专有登录系统-他们太懒了,无法托管自己。既然Google支持OpenID,实际上可以想象每个人都已经拥有了它。
这些天来,我讨厌必须在网站上创建帐户,并且诅咒那些认为我必须首先创建帐户的运营商。
也不要让我讨厌您的网站。
双方都使用openId有很多好处:1.开发人员无需实施登录系统(数据库,客户端处理,应用程序安全性等)。2.用户无需记住额外的凭据集。
在另一方面,您可能会吓到一些并非真正精通计算机的用户,并且不愿透露Google凭据以登录到您的网站。
最好的解决方案是同时允许OpenID和现场注册的混合系统,但这确实会破坏我提到的第一个好处。
OpenID给用户的另一件事是可以使用更强大的凭据。我在此处的回复中看到了一些关于网络钓鱼的担忧,但是您可以选择一个完全不使用网络钓鱼/可重放凭据的OpenID提供程序。例如,某些提供程序支持SSL证书或信息卡。myOpenID有一个要求您登录前接听电话的东西。我敢肯定,还有其他使用硬件令牌的站点。
是的,您的大多数用户可能只会单击Yahoo按钮而不使用它。但这给了他们选择的余地,您不必担心实现细节。我声称向您的站点添加OpenID支持比以跨浏览器方式支持SSL证书要容易得多。而且肯定比支持所有SSL证书,信息卡,电话验证,令牌验证,DDRpass,随机点立体图身份验证或他们接下来想到的任何古怪的东西容易。
我不是想改变任何人的想法。请考虑这些事实。OpenID与用户密码验证系统只有两件事:
我要指出的是,没有其他更改:
就像其他任何技术一样。人们谈论它的大多数事情都是神话,因为他们没有花时间研究它,或者因为他们使用了错误的实现。
OpenID更复杂,并且使您依赖其他提供程序不会崩溃。
StackOverflow遇到的问题之一是,如果您使用与通常使用的OpenId不同的OpenId登录,则会丢失等级和徽章(也许到目前为止,他们尚未解决此问题)。有一次我无法登录一个小时,因为我的提供者已关闭。
我讨厌openID,这是不注册serverfault / stackoverflow的主要原因,那么用户隐私呢?像我这样的一些用户非常偏执,不喜欢在各个网站之间混合使用facebook / yahoo / google信息
OpenID虽然在概念上很不错,但在IMO方面却面临着艰巨的挑战,因为a)开发人员难以实施,b)用户难以习惯使用url的概念。此时,用户名/密码使用模式已经非常牢固。
这就是说,看看Clickpass(www.clickpass.com)。他们正在积极尝试使OpenID易于使用。
祝好运。
还没。
它需要浏览器支持。浏览器可以使用OpenID来实现出色的用户体验,因为它们可以集中管理方式来管理您的身份并使事情变得非常简单(您访问的网站似乎正在使用OpenID,您是否要使用http://yahoo.com /用户登录?)并确保安全。
但是现在,您需要付出巨大的努力才能使OpenID可用。正如我所看到的,您要么需要提供OpenID作为选项,要么为您的用户提供自己的OpenID提供程序(使他们可以自由使用第三方的服务)。
OpenID的问题在于,对于ServerFault这样的事情来说,这非常有用,因为对于人的身份的信任程度实际上并不是要考虑的问题-一旦您开始关心,那会使生活变得复杂。
它变得复杂,因为当我控制身份验证提供程序时,我隐式地信任该提供程序,因为我运行了该提供程序,并且大概已将其实现为所需的标准。当我将身份验证移出我的控制之外时,我现在还必须为身份验证提供者分配信任级别。
在我的雇主处,根据法律,我不能信任那里的任何主要OpenID提供者,因为:
无论如何,这不是一个完整的清单。
为了使OpenID适用于非平凡的应用程序,我需要一个受信任的提供程序-并且必须将我的用户限制为该受信任的提供程序(或多个提供程序)。这种方式打败了整个“单一用户名/密码”的优势。即使那样,我仍可能需要对较高信任级别的用户进行身份验证。对我来说,似乎要做很多工作,尤其是当管理自己的身份验证提供程序不是火箭科学时。
海事组织,各国政府有潜力使这项技术发挥作用。如果州/省DMV或邮局提供了公民建立在线凭据(可通过OpenID访问)的服务,则您将能够信任邮局/ DMV凭据。(因为政府说:“您应该信任我们”。)我相信挪威和丹麦等国家已经在颁发个人PKI证书。
我要说的是,出于以下原因,从用户的角度来看,OpenID比通常的登录解决方案更好:
请记住,仅仅是因为您可以选择OpenID,并不意味着您也不能给用户提供传统用户名+密码组合的备份选项,以防他们不想使用OpenID或不想使用OpenID。提供者。没有错,让用户挑选他们想,如果他们知道,否则默认为OpenID的,海事组织:)
在此领域中,我们最终获得了许多各种登录凭证信息。OpenID允许我使用一个已经建立的帐户对自己进行身份验证,而不必设置另一个帐户和密码。随着许多站点开始支持OpenID,您可以使用更多的选择来使用OpenID身份验证器来验证您的身份。
如果您不想使用现有的其中之一,也可以在自己的站点上设置自己的OpenID身份验证器。通过这种方式,您可以更好地控制由身份验证时确切给出的信息。
我认为,可以选择创建一个帐户或使用OpenID进行身份验证是一个很好的组合,它既涵盖了安全偏执狂,又涵盖了希望易于使用的偏执狂。
我认为OpenID很棒,我们正在考虑将其用于我们的网站。但是,我们需要oAuth,我们也需要来自用户的电子邮件。我们广泛使用它,而我们要做的一件事就是通过电子邮件发送新闻稿。我们允许选择退出,但要使我们的系统正常运行,我们希望这样做。
似乎有一群讨厌放弃一个用户/密码的技术专家,我可以理解。有些人是隐私倡导者,我完全理解。有些只是懒惰,不想设置用户/密码,有些只是接受者。他们想从互联网上获取信息,但从不以任何方式(广告,成本等)付费。我认为这是少数人,因为大多数人都知道他们需要回馈或以某种方式付款。
您需要检查您的站点,所需的详细信息/信息,然后再决定是否满足您的需求。如果是这样,除了当前的登录方法外,您还可以添加它。您是否需要与他人联系,将事情告知他们等?
拥有一种对自己进行身份验证的中央方法非常棒,但是如上所述,存在一些问题,因为缺少密码更改/复杂性。但是,这是用户问题,而不是站点问题。在用户级别上会发生折衷,这是我们永远不会解决的。但这意味着,作为网站所有者,您对网站的出现不承担任何责任。
我看到的OpenID唯一的问题如下:
想象两个附属站点。它们都允许OpenID登录。可以肯定的是,他们可以彼此共享活动统计信息-假设我在第一个网站上进行了动作X和Y,然后,当我访问第二个网站时,根据我在第一个网站上的活动受到了针对性广告的轰炸。由于某种原因,OpenID登录之间缺乏隔离似乎令我有些不愉快。
但事实是,OpenID的最终便利性(一个有望安全的凭据集)不会被上述缺点所掩盖。我会尽可能使用OpenID,并且如果我要开发供公众使用的Web服务,我肯定会使其支持OpenID(也许带有常规注册选项)。