我正在考虑将 OpenID 添加到我们面向客户的管理和控制面板区域......
1 - 将 OpenID 与现有帐户相关联
对于已经拥有我们帐户的客户,我认为他们需要使用我们发布的现有帐号登录,然后我将有一种机制将他们的 OpenID 与他们帐户管理区域中的该帐户相关联(称为“ OpenID 管理器'为了争论)。
在“OpenID 管理器”中,假设用户已经有一个 OpenID,我是否会根据他们的 OpenID 对用户进行身份验证,然后与我们生成的帐号相关联以供将来的 OpenID 登录(假设他们通过了身份验证)?
2 - 敏感数据
虽然我们没有在我们的数据库中存储完整的信用卡数据,但还有其他敏感数据,发票,域注册详细信息等。阅读本文后http://idcorner.org/2007/08/22/the-problems- with-openid/我对以这种方式使用 OpenID 的想法有点谨慎,你们的普遍共识是什么?
在我看来,很多反对 OpenID 的论点要么是出于无知,要么是由一些有问题的人提出来的。
例如,您链接到的文档抱怨说,使用 URI 来识别自己是“不人道的,而且有点吓人”。这是合法的投诉,还是拼命想抱怨的人写的东西?
提出的两个主要问题是网络钓鱼和被盗帐户,并且这些论点已经被反复讨论了很多次,如果他们再次提出它们而没有提出新的观点,就很难认真对待某人。
网络钓鱼防护取决于提供商。一些提供商提供比典型网站更好的安全性。一些提供商只提供典型的用户名和密码。无论哪种方式,如果帐户被盗用,那是用户和他们的提供商之间的事情,这不是你关心的问题。您不必担心最终用户的计算机上安装了键盘记录器,对吗?那是因为他们的本地安全不是您的责任,即使它可能被用来访问他们的帐户。OpenID 也是如此 - 它的安全性不是您的责任。
如果您破坏了 OpenID,它可以让您访问多个网站。当然可以,但电子邮件也是如此。只需说您忘记了密码,您就会收到一个新密码。您现在可以访问他们使用该电子邮件地址注册的每个帐户。
OpenID 并不比现状差,而且在许多情况下明显好转,尤其是对于知情用户。如果您仍然对它保持警惕,那么只需将其设为可选,这样只有知情的用户才能使用它。
我允许使用特定帐户注册多个OpenID。这是一个很好的功能,因为它允许用户在需要时在 OpenID 之间迁移。
也就是说,idcorner 链接提出了一个很好的观点。我认为他严重夸大了安全问题,并对 OpenID 提供者的工作方式做出了许多愚蠢的假设,但 OpenID 并不是要取代所有形式的用户身份验证。它旨在使“路过”用户通过某种形式的基本身份验证轻松与站点交互。