我正在研究 OpenId 并查看它是否对我的网站来说是一个很好的解决方案,有些事情让我感到困惑。如果我错了,请纠正我。
“我的理解是,OpenID 的工作方式是用户将凭据发送到授权服务器,而受信任的服务器会判断该用户是否合法。”
现在,让我们以 Stackoverflow 为例。我看到了雅虎和谷歌的所有这些图标以及一切,我猜 Stackoverflow 说这些是我信任的提供商,如果他们信任你,我就信任你。
现在,还有一个显示 OpenID 的按钮,我也可以继续在那里注册。现在那是一个独立的授权服务器吗?谁是它的提供者?
如果我想将 openID 嵌入到我的网络项目中。我应该使用哪个授权服务器?每当我搜索 OpenId 时,我都会将此 OAuth 视为一个选项;它是授权服务器吗?
OpenID 是一种标准,而不是身份验证提供者。
OAuth 是 OpenID 的补充。
[谷歌有一个相当好的流程解释: https ://developers.google.com/accounts/docs/OpenID ]
许多网站为特定的身份验证提供者提供选项只是为了简化流程。OpenID URI 不统一,因此您无法分辨(例如)来自电子邮件地址的 URI 是什么。
一些身份验证提供商(如 Google)很难找出您的 OpenID 实际是什么,大概是为了使登录对用户更加透明(并随后将品牌添加到依赖方的网站)。
如果您知道您的 OpenID URI 是什么,您应该能够在任何兼容的站点上输入它,而无需执行“选择已知提供商”步骤。但是,该选项是否可用由作者自行决定。
[关于身份验证提供者的“可信度”,存在一些潜在问题: http ://en.wikipedia.org/wiki/OpenID#Security ]
[ OpenID 基金会有官方答案: http: //openid.net/get-an-openid/ ]