我正在设计一个网络/移动应用程序,该应用程序可以聚合并自定义呈现来自 3rd 方网络服务的爱好/生活方式相关数据(第 1 阶段)。如果该网站受欢迎,我计划出售相关的运动装备(第 2 阶段)。
我对第 1 阶段比较陌生,OpenID/OAuth并计划在第 1 阶段使用它,就像 Stackexchange 一样,因为安全问题相对较低——用户配置文件数据不包含任何财务数据,并且大部分只包含可以轻松重建的用户偏好。OpenID/OAuth但是,考虑到会有财务和个人数据,我不愿意用于第 2 阶段。
Q1:OpenID/OAuth有没有网站在存储用户财务和个人数据的同时 成功安全实施的例子?
Q2: 如果网站只是临时使用CC/PayPal数据,即用户每次交易都要重新输入敏感信息,没有存储,使用OpenID/OAuth是否更适用,风险更小?
Q3: 这种认证/授权架构是否有可能获得 SSL 证书?
奖励: 即使 A1 是肯定的(或假设技术演变为适用),您是否预计最终用户不会信任将其财务数据外包身份验证的网站(这更像是一个心理问题)?
有关的: