Open ID是否比通常的LogIn系统更好？[关闭]

我们正在开发一个Web系统，并考虑使用“开放ID”功能。您认为这比登录用户的常规方式更好吗？如果我们使用Open Id功能，则意味着用户将被重定向到他们选择的Open Id提供程序的站点，这将采取更多措施。然后，他们必须在那里登录并重定向回我们的网站。用户对此感到满意吗？

注意：它更多是一个社交网站，但没有任何庞大的内容。

我喜欢OpenID，它绝对比“传统”的每站点凭据隐喻更好。我不想管理更多的凭据，也不想信任J。随机站点存储我安全提供的凭据。我认为随着它变得越来越普遍，用户将对它更加满意。希望它变得更加普遍。

如果我们错了，请指出。

负面意见

• 我们认为，对于一般用户而言，这可能不是最佳选择。
• 技术知识较少的用户会三思而后行或感到困惑。
• 他们不习惯。
• 他们必须从某个提供商那里获取一个开放的ID，这可能会使他们感到烦恼。
• 他们可能会讨厌它，因为它们将被重定向到另一个站点。
• 他们可能会弄错！

正面意见

• 这是值得信赖的，因为我们不要求他们提供凭据。
• 登录后速度更快。
• “克服凭据枯竭”。很难追踪有多少人跳过站点，因为他们拒绝维护另一个用户名/密码。- 卡拉·黑手党

别忘了，它不一定非要非此即彼。除了传统的登录方法之外，您还可以（可能应该）添加OpenID支持。这不会吓跑“一般”用户-他们只是使用现有方法，同时使使用OpenID的人们的生活更加舒适。

OpenID提供了许多优点，其中最主要的优点是使您懒于身份验证。授权仍然是您的问题，但至少不必担心安全存储凭据。我认为这是一件好事。“网络需要更多的“依赖方”，例如serverfault。

如果使用OpenID登录，则只需登录一次您的提供商-第二次，用户甚至都不会看到提供商的页面。

另外，也许RPXnow会很有趣。

我个人已经越过了热爱OpenID。我曾经对一般的妄想症有抵抗力。现在，要保持一切正常，a $$太痛苦了。我确实同意非技术用户一开始可能会遇到困难，但是我认为传播越广泛，人们就会越自在。一些站点不仅提供传统的（本地）身份验证系统，还提供使用OpenID的选项。我认为教育在这里将大有帮助，因此，如果您清楚地解释什么是OpenID及其好处，那么将对接受有很大帮助。

作为单点登录（SSO）技术，它承受任何SSO的一般风险。从这个角度来看，我还没有准备好将我的银行或医疗站点集成到其中：)并不是他们提供的。

我通常会用OpenID来说明这一点，您通常希望获得OAuth，这会在犯罪方面造成低估。

其他人已经对OpenID进行了详尽的阐述，OAuth补充说另一个站点不仅通过OpenID提供者知道您是谁，而且您还可以告诉所涉及的站点允许您了解什么。

• 需要电子邮件以获取用户详细信息
• 需要名字/姓氏以获取用户详细信息
• 需要国家

可能还好。那些呢：

• 社会安全号码
• 信用卡号
• 电话号码
• 邮寄地址

因此，OpenID + OAuth是一个很好的组合，不仅可以使用一个位置来保存用户名和密码，还可以在其中保存有关您自己的详细信息，并且不会丢失有关哪个站点可以访问有关您的详细信息的概述。

我可以考虑一下OpenID会在现场赢得许多用户的情况。假设一个主要站点向恶意黑客[*]丢失了数百万个用户密码，并且该列表泄漏了出去。大多数用户会感到恐慌，不仅因为一个特定的帐户，而且因为他们对多个站点使用相同的登录名/密码。他们做到了。我知道，我知道。而且我没有跟踪这些帐户，因此结果是我永远无法更改密码。

现在，当我知道小人可以窃取我的帐户时，我该怎么办？我将尝试完成更改密码的繁重任务。或者，我会偶然发现OpenID概念，并尝试转换所有这些帐户。这意味着我实际上仍然对多个站点只有一个登录名/密码，但是现在我至少可以轻松地在所有站点中更改密码。万一邪恶的黑客窃取了我的OpenID，我有一个问题可以要求重置密码或至少禁用帐户。

[*]-阅读：脚本小子

我访问各种网站的次数越多，我越想要单点登录功能。

每个网站都认为自己的网站最重要。每个网站都坚持要求您先创建一个帐户，然后才能进行任何操作。StackOverflow，Serverfault，Wikipedia，WowWiki，Wowhead，MS论坛，CodeProject，CodePlex等……

他们都要求我创建一个唯一的用户名，密码，并在我的电子邮件地址上创建分支。然后他们坚持要求我先检查我的电子邮件，然后再让我发布，编辑，下载，单击，评论，评分等。没有理由不让我在进入网站后立即使用您的网站。

我只希望他们都闭嘴。我想要一个我可以随处使用的登录名，并且电子邮件地址是一个黑洞，因此​​我永远不必阅读它们的垃圾。

OpenID似乎就是那样。但是只有在Google支持的情况下才有可能。在此之前，这是StackOverflow自己的专有登录系统-他们太懒了，无法托管自己。既然Google支持OpenID，实际上可以想象每个人都已经拥有了它。

这些天来，我讨厌必须在网站上创建帐户，并且诅咒那些认为我必须首先创建帐户的运营商。

也不要让我讨厌您的网站。

双方都使用openId有很多好处：1.开发人员无需实施登录系统（数据库，客户端处理，应用程序安全性等）。2.用户无需记住额外的凭据集。

在另一方面，您可能会吓到一些并非真正精通计算机的用户，并且不愿透露Google凭据以登录到您的网站。

最好的解决方案是同时允许OpenID和现场注册的混合系统，但这确实会破坏我提到的第一个好处。

OpenID给用户的另一件事是可以使用更强大的凭据。我在此处的回复中看到了一些关于网络钓鱼的担忧，但是您可以选择一个完全不使用网络钓鱼/可重放凭据的OpenID提供程序。例如，某些提供程序支持SSL证书或信息卡。myOpenID有一个要求您登录前接听电话的东西。我敢肯定，还有其他使用硬件令牌的站点。

是的，您的大多数用户可能只会单击Yahoo按钮而不使用它。但这给了他们选择的余地，您不必担心实现细节。我声称向您的站点添加OpenID支持比以跨浏览器方式支持SSL证书要容易得多。而且肯定比支持所有SSL证书，信息卡，电话验证，令牌验证，DDRpass，随机点立体图身份验证或他们接下来想到的任何古怪的东西容易。

我不是想改变任何人的想法。请考虑这些事实。OpenID与用户密码验证系统只有两件事：

• 进行身份验证的地方。如果以前使用过名称+密码，则OpenID会更改检查密码的位置。如果您以前使用过证书，则OpenID会更改检查证书的位置。
• OpenID URL对于整个WWW是唯一的（不考虑备用根DNS-es）

我要指出的是，没有其他更改：

• OpenID不能代替注册过程（但可以通过sREG扩展名简化注册）
• 它并不安全。如果以前使用过短密码，他将再次使用它们。
• 这并不意味着您不能为偏执狂的人们在每个网站上拥有数百个不同的ID。
• 这并不意味着“ OMG那是极客技术，请逃之!!！ ”。不，您可以像StackOverflow网站组那样为常用的OpenID提供程序创建漂亮的闪亮按钮。这对用户更加友好。
• 它并不意味着重定向。您可以在iframe或单独的浏览器窗口中进行身份验证。

就像其他任何技术一样。人们谈论它的大多数事情都是神话，因为他们没有花时间研究它，或者因为他们使用了错误的实现。

OpenID更复杂，并且使您依赖其他提供程序不会崩溃。

StackOverflow遇到的问题之一是，如果您使用与通常使用的OpenId不同的OpenId登录，则会丢失等级和徽章（也许到目前为止，他们尚未解决此问题）。有一次我无法登录一个小时，因为我的提供者已关闭。

我讨厌openID，这是不注册serverfault / stackoverflow的主要原因，那么用户隐私呢？像我这样的一些用户非常偏执，不喜欢在各个网站之间混合使用facebook / yahoo / google信息

OpenID虽然在概念上很不错，但在IMO方面却面临着艰巨的挑战，因为a）开发人员难以实施，b）用户难以习惯使用url的概念。此时，用户名/密码使用模式已经非常牢固。

这就是说，看看Clickpass（www.clickpass.com）。他们正在积极尝试使OpenID易于使用。

祝好运。

还没。

它需要浏览器支持。浏览器可以使用OpenID来实现出色的用户体验，因为它们可以集中管理方式来管理您的身份并使事情变得非常简单（您访问的网站似乎正在使用OpenID，您是否要使用http://yahoo.com /用户登录？）并确保安全。

但是现在，您需要付出巨大的努力才能使OpenID可用。正如我所看到的，您要么需要提供OpenID作为选项，要么为您的用户提供自己的OpenID提供程序（使他们可以自由使用第三方的服务）。

想客户。您的目标客户是极客吗？如果可以，OpenID将打动您的客户并为您的网站提供帮助。如果不是这样，那么使其变得非极客友好性就需要进行额外的工作，从而浪费掉资源来交付客户关心的内容。首先专注于为客户提供价值。

OpenID的问题在于，对于ServerFault这样的事情来说，这非常有用，因为对于人的身份的信任程度实际上并不是要考虑的问题-一旦您开始关心，那会使生活变得复杂。

它变得复杂，因为当我控制身份验证提供程序时，我隐式地信任该提供程序，因为我运行了该提供程序，并且大概已将其实现为所需的标准。当我将身份验证移出我的控制之外时，我现在还必须为身份验证提供者分配信任级别。

在我的雇主处，根据法律，我不能信任那里的任何主要OpenID提供者，因为：

• 他们不强制定期更改密码
• 他们不强制密码长度/复杂度
• 我无法审核他们的系统管理实践

无论如何，这不是一个完整的清单。

为了使OpenID适用于非平凡的应用程序，我需要一个受信任的提供程序-并且必须将我的用户限制为该受信任的提供程序（或多个提供程序）。这种方式打败了整个“单一用户名/密码”的优势。即使那样，我仍可能需要对较高信任级别的用户进行身份验证。对我来说，似乎要做很多工作，尤其是当管理自己的身份验证提供程序不是火箭科学时。

海事组织，各国政府有潜力使这项技术发挥作用。如果州/省DMV或邮局提供了公民建立在线凭据（可通过OpenID访问）的服务，则您将能够信任邮局/ DMV凭据。（因为政府说：“您应该信任我们”。）我相信挪威和丹麦等国家已经在颁发个人PKI证书。

对于社交网站，OpenID将有助于吸引精通技术的人。但是，如果这是您唯一的选择，它将吓跑其他所有人。用户习惯于在每个站点上使用新的登录名和密码进行注册。OpenID是新来的，而且是外国的，可能使用户想知道为什么要将其凭据提供给第三方。对于典型的用户，OpenID可能还会说GiveMeYourInformationSoICanSpamYou ... ...这仅仅是他们怀疑您的网站完整性的另一个原因。

简而言之-确定您的用户群，并临时使用OpenID或同时使用OpenID和应用程序管理的登录系统。

我不知道为什么人们认为openID更安全。对于精通技术的用户，这可能适用，但是普通用户不会发现真正的openID登录名与伪造的会刮擦密码的登录名之间的区别。
更糟糕的是，他们也将知道与该密码关联的openID帐户，并且可能比使用简单的用户名/电子邮件/密码组合造成更大的损失。

openID是技术用户的技术解决方案，对普通用户不是很有帮助。因此，对于技术站点而言，它可能会蓬勃发展，但我很快就不会看到普通站点的情况。

我要说的是，出于以下原因，从用户的角度来看，OpenID比通常的登录解决方案更好：

• 我不必记住您网站的其他用户名和密码
• 如果需要，我可以将一个登录ID用于多个站点
• 我总是得到相同的用户名-在获得免费的登录名之前，不会在登录ID的末尾添加数字和随机废话
• 随着时间的流逝，它将越来越受到用户的欢迎和理解。
• 向用户解释它的工作原理以及对他们的好处非常简单
• 大多数用户将拥有一个来自Yahoo或Google的免费电子邮件帐户，可以将其用作OpenID提供者->他们甚至都不知道这是可能的。
• 用户仍然可以给OpenID提供者一个不同的电子邮件地址（如果这是一个免费的yahoo / gmail /任何帐户），您可以让他们单击一个链接进行确认，以作为发送“忘记了我的密码”电子邮件的备份或其他通知或行销政策。

请记住，仅仅是因为您可以选择OpenID，并不意味着您也不能给用户提供传统用户名+密码组合的备份选项，以防他们不想使用OpenID或不想使用OpenID。提供者。没有错，让用户挑选他们想，如果他们知道，否则默认为OpenID的，海事组织:)

开放ID是您喜欢或讨厌的想法之一-我认为这确实可以归结为您是热心还是怀疑地看待“真实性”的集中化。

换句话说，当您发现某个openid网站上的帐户遭到入侵时，您是否认为：“哦，不，现在，我在使用该openid的每个网站上都有可能遭到入侵，”或“哦，好了，现在我只需要在一处更改所有这些网站的密码即可。”

在此领域中，我们最终获得了许多各种登录凭证信息。OpenID允许我使用一个已经建立的帐户对自己进行身份验证，而不必设置另一个帐户和密码。随着许多站点开始支持OpenID，您可以使用更多的选择来使用OpenID身份验证器来验证您的身份。

如果您不想使用现有的其中之一，也可以在自己的站点上设置自己的OpenID身份验证器。通过这种方式，您可以更好地控制由身份验证时确切给出的信息。

我认为，可以选择创建一个帐户或使用OpenID进行身份验证是一个很好的组合，它既涵盖了安全偏执狂，又涵盖了希望易于使用的偏执狂。

我认为OpenID很棒，我们正在考虑将其用于我们的网站。但是，我们需要oAuth，我们也需要来自用户的电子邮件。我们广泛使用它，而我们要做的一件事就是通过电子邮件发送新闻稿。我们允许选择退出，但要使我们的系统正常运行，我们希望这样做。

似乎有一群讨厌放弃一个用户/密码的技术专家，我可以理解。有些人是隐私倡导者，我完全理解。有些只是懒惰，不想设置用户/密码，有些只是接受者。他们想从互联网上获取信息，但从不以任何方式（广告，成本等）付费。我认为这是少数人，因为大多数人都知道他们需要回馈或以某种方式付款。

您需要检查您的站点，所需的详细信息/信息，然后再决定是否满足您的需求。如果是这样，除了当前的登录方法外，您还可以添加它。您是否需要与他人联系，将事情告知他们等？

拥有一种对自己进行身份验证的中央方法非常棒，但是如上所述，存在一些问题，因为缺少密码更改/复杂性。但是，这是用户问题，而不是站点问题。在用户级别上会发生折衷，这是我们永远不会解决的。但这意味着，作为网站所有者，您对网站的出现不承担任何责任。

我看到的OpenID唯一的问题如下：

想象两个附属站点。它们都允许OpenID登录。可以肯定的是，他们可以彼此共享活动统计信息-假设我在第一个网站上进行了动作X和Y，然后，当我访问第二个网站时，根据我在第一个网站上的活动受到了针对性广告的轰炸。由于某种原因，OpenID登录之间缺乏隔离似乎令我有些不愉快。

但事实是，OpenID的最终便利性（一个有望安全的凭据集）不会被上述缺点所掩盖。我会尽可能使用OpenID，并且如果我要开发供公众使用的Web服务，我肯定会使其支持OpenID（也许带有常规注册选项）。