0

我正在研究 OpenId 并查看它是否对我的网站来说是一个很好的解决方案,有些事情让我感到困惑。如果我错了,请纠正我。

“我的理解是,OpenID 的工作方式是用户将凭据发送到授权服务器,而受信任的服务器会判断该用户是否合法。”

现在,让我们以 Stackoverflow 为例。我看到了雅虎和谷歌的所有这些图标以及一切,我猜 Stackoverflow 说这些是我信任的提供商,如果他们信任你,我就信任你。

现在,还有一个显示 OpenID 的按钮,我也可以继续在那里注册。现在那是一个独立的授权服务器吗?谁是它的提供者?

如果我想将 openID 嵌入到我的网络项目中。我应该使用哪个授权服务器?每当我搜索 OpenId 时,我都会将此 OAuth 视为一个选项;它是授权服务器吗?

4

1 回答 1

3

OpenID 是一种标准,而不是身份验证提供者。

  • OpenID URI 提供了足够的信息去到 auth 提供者进行身份验证。
  • 用户在提供商的网站上输入他们的登录凭据。此步骤依赖于用户知道他们的提供者的授权页面是什么样的。
  • 回复,加上引荐来源标头,旨在提供足够的信息来安全地验证用户身份。

OAuth 是 OpenID 的补充。

[谷歌有一个相当好的流程解释: https ://developers.google.com/accounts/docs/OpenID ]

许多网站为特定的身份验证提供者提供选项只是为了简化流程。OpenID URI 不统一,因此您无法分辨(例如)来自电子邮件地址的 URI 是什么。

一些身份验证提供商(如 Google)很难找出您的 OpenID 实际是什么,大概是为了使登录对用户更加透明(并随后将品牌添加到依赖方的网站)。

如果您知道您的 OpenID URI 是什么,您应该能够在任何兼容的站点上输入它,而无需执行“选择已知提供商”步骤。但是,该选项是否可用由作者自行决定。

[关于身份验证提供者的“可信度”,存在一些潜在问题: http ://en.wikipedia.org/wiki/OpenID#Security ]

[ OpenID 基金会有官方答案: http: //openid.net/get-an-openid/ ]

于 2012-04-10T01:22:13.500 回答