0

这确实是对此问题的后续问题,仅提供了 Stack Exchange 特定的答案。

我根据这个 SO answer设置了对 Google 的身份验证委派,特别是因为我希望能够更换身份验证提供程序,而不必去所有使用自定义 URI 作为用户标识符的单个站点并修复它们。Stack Overflow/Exchange 是少数几个认为 SO/SE 用户可能具有多个身份的站点之一,而其他站点则根本没有。使用不同的 OpenID 登录对他们来说就像我以完全不同的人身份登录 - 一个新帐户;迁移到新 ID 或将多个 ID 链接到同一个帐户并不总是可行的。

我不想被困在身份验证提供商决定停止提供该服务的位置,基本上是孤立我在其他网站上使用该 ID 创建的任何帐户。我也不想承担仅为我运行自己的身份验证服务的维护负担。委托允许我保留我的明显身份(我的自定义 URI 提供了一个页面,其中包含将身份验证委托给另一个提供商的链接),而无需将我与该提供商绑定。在任何时候,我都可以将 Google 换成另一个提供商,但我提供给其他网站的 URI 将保持不变。

另一个问题中提供的答案基本上是说将 Google ID 添加到 Stack Exchange 帐户并完成它,但这避免了这里的核心问题。如果我将身份验证提供程序更改为支持 OpenID 2.0 的另一个,我不能保证他们不会在某个时候放弃它。我可以找到一个开源身份验证 OpenID 2.0 提供程序,并将其本地托管在我的自定义 OpenID URI 所在的同一台服务器上,但我担心如果 OpenID 2.0 因为没有用/安全而被杀死,这将变得站不住脚。我认为 OpenID 2.0 被弃用是有充分理由的,我不想在它应该被杀死的时候坚持下去。

我的问题是:OpenID Connect 仍然可以进行这种委派吗?如果可以,怎么做?如果 OpenID Connect 无法实现,那么将来是否还会继续支持其他选项?

4

1 回答 1

1

OpenID Connect 不支持 OpenID 2.0 中的委托,这意味着它不会为您提供持久标识符,您可以将身份验证委托给您选择的可配置提供程序。

还有其他主要依赖于依赖方的选项:RP 可以以主标识符不基于任何特定登录机制的方式实施帐户管理。这不仅开辟了将不同 OpenID Connect 提供者与帐户相关联的可能性,而且还允许同时配置多个第 3 方身份验证提供者(或身份验证方法)。

这就是 SO 所做的,大多数 RP 都采用了这种模型,而不是单一的外部标识符模型,这导致了 OpenID 2.0 委托的缓慢采用。当然,这种方法的缺点是,如果提供商已经停业,您必须使用密码或帐户恢复过程进入这些帐户中的每一个来修改关联。

于 2015-02-16T13:59:11.240 回答