我正在为我的公司维护一个 Intranet 网站,他们希望将其暴露给大而糟糕的外部世界。目前,它没有任何身份验证或授权。我管理用户帐户的想法是通过使用现有技术来验证用户帐户并在此基础上构建授权模型。现有技术将是 CardSpace 和 OpenID,这将使我们免于维护用户名和密码列表,从而使该网站对黑客来说不那么有趣。网站上的数据也不是那么敏感。实际上,我们只是将相同的数据作为 XML 导出给使用我们的桌面产品之一的用户,任何人只要知道它在哪里就可以查看这些信息。我们只是阻止所有人修改数据,除了少数超级用户。更糟糕的是,超级用户会破坏所有数据,在这种情况下,我们' 将不得不恢复备份。在最坏的情况下,我们会失去一天的数据输入,最多会转化为一百次修改。(98 次实际上是迄今为止单日修改次数最多的一次。)
总而言之,这不是非常关键的数据。我们只是想增加一些安全性。
现在,管理层建议建立一个额外的数据库,我们将在其中存储用户名和密码,添加加密并做各种其他事情来保护这些用户数据,他们基本上是在编造各种奇怪的方案来处理用户帐户。他们都没有软件设计技术方面的经验,也没有人知道如何确保系统安全。因此,他们的设计变得完全混乱。(大写 C。)他们已经花了两个月的时间来提出功能设计,因为他们甚至无法在某些安全方面达成一致。
所以他们要求我为他们提供一个易于理解的关于适当安全性的见解。因为我知道 CardSpace 和 OpenID 都是相当安全的,所以我想向他们介绍这些作为管理帐户的最佳选择。添加一个简单的角色系统,其中每个帐户都连接到一个特殊角色,授予“仅查看”之外的其他权限,这将快速实施且易于维护。构建它,进行概念验证并找到足够的技术信息很容易。我只有一个问题...
如何向完全没有技术背景的人解释 CardSpace 和 OpenID 等技术?类似“OpenID for Dummies”的东西,但更容易理解。我很难找到合适的词而不会再次变得有点技术性。(更糟糕的是,如果我不能正确解释这一点,他们可能会决定不使用这种技术,我将注定要实现一个可怕的结构。)
请帮忙!:-)
那好吧。简化问题:我如何用非技术性的语言解释使用 OpenID 或 CardSpace 优于任何自制解决方案的优势?
附录:这些经理不是我的“正常”经理。他们基本上是公司的首席执行官和合作伙伴,他们提出了发布网站的想法。通常,他们会将这些任务委托给常规经理,并接受常规经理提出的任何解决方案。但这对他们来说已经成为一个有点声望的项目,因此他们亲自参与其中。其中至少有一个一直在互联网上搜索有关安全性的信息,并希望它比诺克斯堡更安全。他引起了我需要制服的一点偏执狂,也不要冒犯他们。他们似乎都对这个“安全”的东西有了更多的了解,甚至没有了解技术方面。由于这是一个声望很高的项目,他们愿意接受昂贵的解决方案,但这对公司不利。就个人而言,我想告诉他们退后一步,让真正的专业人士来处理这个问题。再说一次,我也想保住我的工作,所以我需要一个更政治正确的答案。