openid - 在站点上仅使用 OpenID 身份验证有什么好处？

Question

根据我使用OpenID的经验，我看到了一些明显的缺点：

向站点添加单点故障
即使检测到，站点也无法修复该故障。如果 OpenID 提供商关闭了三天，该网站有什么办法允许其用户登录并访问他们拥有的信息？

将用户带到另一个站点的内容，并且每次他们登录到您的站点时，
即使 OpenID 提供程序没有错误，用户也会被重定向到他们的站点进行登录。登录页面有内容和链接。因此，用户实际上有可能会被吸引离开该网站而进入互联网兔子洞。

为什么我要将我的用户发送到另一家公司的网站？
[注意：我的提供商不再这样做，并且似乎已经解决了这个问题（现在）。]

为注册增加了重要的时间要注册
该站点，新用户必须阅读新标准，选择提供商并注册。标准是技术人员应该同意的东西，以使用户体验顺畅。它们不是应该强加给用户的东西。

这是钓鱼者的梦想
OpenID 非常不安全，并且在用户登录时窃取他们的 ID 非常容易。[摘自下面大卫·阿诺的回答]

---

对于所有的缺点，一个优点是允许用户在 Internet 上登录的次数更少。如果网站选择加入 OpenID，那么想要该功能的用户可以使用它。

我想了解的是：网站强制执行
OpenID 有什么好处？

Answer 1

强制使用 OpenID 的好处只是不需要编写网站的登录代码（除了 OpenID 集成之外），也不需要在存储用户密码等方面采取预防措施。

没有自己的登录代码也意味着不必处理很多支持问题，例如重置丢失的密码等。

当然，你的大部分缺点都是有效的，所以我想这是一种权衡。

令我惊讶的是，没有更多的网站与特定的 OpenID 提供商建立密切关系以简化帐户注册阶段 - 即某种“你可以使用任何你喜欢的 OpenID，但你也可以现在通过输入一个用户名和密码等的登录页面，它会自动为您创建一个与所选提供商的新帐户。

Answer 2

这是外包一部分基础架构的好方法。您不必担心丢失密码等，其他人会为您完成。

不过，我不确定我是否会专门使用它。我没有使用足够多的 OpenID 来完全信任它，并且需要简化注册过程，直到超过 90% 的用户拥有 OpenID。

Answer 3

向站点添加故障的关键点

Stackoverflow用户语音的第三个最高想法是允许更改 OpenID 提供程序。并且在评论中有建议允许在 OpenID 之外进行更多的关联。在可以将多个 OpenID 与一个帐户关联的站点上，如果您通常的 OpenID 提供商已关闭，您仍然可以使用另一个提供商登录（假设您已经将其与该站点关联）。

此外，对于无法正常工作的 OpenID 提供程序的用户来说，这只是一个关键的故障点。其他 OpenID 提供商上的所有其他用户都可以继续记录它。随着时间的推移，您会期望用户会迁移到最可靠的提供商。

将用户带到另一个站点的内容，并且每次他们登录到您的站点时

如果您已将 OpenID 提供程序设置为始终信任某个站点（或命名法中的 OpenID 消费者）并且您已经登录到您的 OpenID 提供程序，那么他们会将您直接重定向回该站点，而您甚至不会看到您的 OpenID 提供程序站点。

为注册增加非试用时间

目前这可能是真的，但正如 andyuk 所说，“支持 OpenID 的站点越多，这就越不成问题”。我希望几年后大多数用户已经拥有一个 OpenID 并且知道它是什么。

Answer 4

从工程的角度来看，仅使用 OpenID 的一大好处是，将凭证身份验证部分抽象出来，让用户可以选择比您为您的站点构建的任何方法都复杂得多的身份验证方法。是的，一些 OpenID 提供者很容易被钓鱼。另一方面，其他 OpenID 用户使用信息卡、硬件令牌或电话验证登录，这些都是网络钓鱼者无法捕获和重放的凭据。

正如 Gabe Wachob所说：

想要在身份验证方法方面进行创新的人 [...] 不必是在网络上提供服务方面进行创新的人（运行 Mediawiki、Drupal 等的百万人中的任何一个）。认证创新与服务创新的“脱钩”，正是 OpenID 的价值所在。

因此，通过使用 OpenID，您可以为您的用户提供更强大的身份验证方法。这种抽象让您可以实现一个接口，然后您可以选择任何提供者来使用，无论他们使用明文形式的八字符密码还是挑战响应神经植入物。

Answer 5

缺点列表忽略了最明显的一个：这是网络钓鱼者的梦想。OpenID 非常不安全，在用户登录时窃取他们的 ID 非常容易。

不过，Matt Sheppard 对答案一针见血：只使用 OpenID 的好处是它为网站创建者带来了更少的麻烦，因为无需处理用户名和密码，也不需要用户帐户创建代码。

Answer 6

它鼓励用户注册 OpenID，了解有关它的更多信息，并希望自己宣传它。

Stack Overflow 证明只支持 OpenID 是可行的。

“向站点添加故障的关键点”

如果 OpenID 提供者无法工作，站点应该有一种机制允许用户登录和添加/更改 OpenID 提供者。也许该站点可以通过电子邮件发送一个临时链接以绕过安全性，以便用户可以访问他们的帐户。

“将用户带到另一个站点的内容，并且每次他们登录到您的站点时”

我的 OpenID 提供商允许我信任给定的网站，因此我什至不需要查看他们的网站。

“为注册增加非试用时间”

支持 OpenID 的站点越多，这个问题就越少。

Answer 7

作为一名 Web 开发人员，我是 OpenID 理念的忠实拥护者。编写 Auth 代码是一件很痛苦的事情。作为一名网络用户，我是 OpenID 的忠实粉丝——用于非关键用途，如 SO、论坛等——因为一旦你拥有了 ID，这是一种非常简单的加入网站的方式。

我认为，除了少数例外——比如开发者社区——目前，你不能只强制使用 OpenID。“普通”网络用户（无论这意味着什么）不明白。然而，在这样的网站上推广它会提高开发人员的意识，这个想法最终会慢慢流传下来。随着 OpenID 出现在越来越多的网站上，人们会关注它，意识到他们拥有一个，然后开始使用它。为了让 OpenID（这是一个好主意）流行起来，需要有大量的用户和网站支持它。

最终，它只会是“它本来的样子”，我们会想知道为什么我们会为我们创建的每个网站创建身份验证代码，或者为什么我们会在网络上的任何地方创建一个唯一的身份

Answer 8

正如其中一个播客中所讨论的，它增加了进入流浪者的障碍，因为他们想知道这是否可能是他们应该在雅虎发布的地方！回答问题。

这有点精英主义，但考虑到这个网站的重点，拒绝任何无法弄清楚 Open ID 流程的人是完全可以接受的，任何真正有需要回答的真正问题的人都可能会费心解决任何问题轻微的困难。

Answer 9

根据我使用 OpenID 的经验，我看到了一些重要的好处：

如果您选择使用您信任的 OpenID 提供商登录，例如。威瑞信 PIP+VIP 您可以享受带外 SecureID 身份验证机制的好处。这应该被视为胜过所有其他人的主要好处。您不再信任您访问的站点上的任何基于表单的蹩脚的身份验证，您正在信任 Verisign VIP 或您选择的任何 OpenID 提供商。

互联网兔子洞？听起来像是糟糕的实施，我不知道你指的是什么。

您不能轻易窃取身份验证细节，它可以比我们已经拥有的更接近不可能！您可能会欺骗我，让我认为我正在联系我的提供商，但 Verisign 可以选择不允许或接受重定向。我认为这些网络钓鱼问题也是微不足道的，尤其是当您将其与您可以通过 OpenID 身份验证提供程序获得的带外身份验证机制的好处进行权衡时。因此，假设您曾经钓鱼 RSA 密钥详细信息，下一次它将无效，或者如果您要说使用浏览器证书，它可能完全没用。

总之，OpenID 只是当前系统的演变，是一个用于验证的电子邮件地址。如果您的电子邮件帐户是您当前的单点故障，那么是的，在您控制的 OpenID 不再受您控制的情况下，您的 OpenID 可能是您的新单点故障。因此，如果您只信任您的电子邮件服务器，那么只需托管您自己的 OpenID URL。如果您信任 Gmail，请为您的 OpenID 使用 gmail URL，因为出于同样的原因，您已经信任 Gmail 作为您的 SSO，因为您的 gmail 帐户最终可以检索您的帐户密码。

It's a no brainer, but I can see that some people may have difficulty understanding the basic concepts of authentication mechanisms. If I CAN login with my SecureID card (via my OpenID provider) to a site that I have an account on, I WOULD. So if it was the only option, I'll take it!

Answer 10

向站点添加故障的关键点

失败的关键点可能是您发送的确认电子邮件，但用户的邮箱 a) 由于拼写错误不可用，b) 已满或 c) 提供商“关闭”。

将用户带到另一个站点的内容，并且每次他们登录到您的站点时

我可以看到，但恕我直言 - 这还不错。我的意思是，Y！似乎是最混乱的登录之一，它也对我不起作用。;) 除此之外，大多数 OpenID 提供商看起来还不错（还）。

另外，请记住您的听众。如果妈妈和爸爸是您的用户，那么 OpenID 可能会令人困惑。但在互联网上可能很多。在 SO 的情况下，人们是一些精明的用户并且知道他们想要什么。

为注册增加非试用时间

这是一个非问题。查看提供者列表：http: //openid.net/get/

这么多人至少有一个 Yahoo! 帐户，所以如果它确实有效。不会那么糟糕。我同意，如果用户没有 OpenID，并且不知道它的用途。教育他们并不容易。

并想一想其中的含义——“要注册站点 A，您需要在站点 B 注册”。我们都知道注册本身就是一件痛苦的事情。但从长远来看，这也正是 OpenID 试图解决的问题。

在主流中，我目前认为强制 OpenID 没有任何价值。不过我喜欢它作为一个附加组件。只是人们如何提供“使用您的 Facebook 登录”的链接等。然后那些不明白（或不在乎）的人不需要打扰。但其他人仍然可以使用它。

Answer 11

还要提一件事。您已经有一个使用 OpenID 的用户群，他们只需要登录。

Answer 12

OpenID 可能是自切片面包以来最伟大的事情，但我没有理由相信“他们”的身份——除了 Jeff Atwood/Joel Spolsky 让我这样做是为了在这里抱怨它；-)

Answer 13

我赞成 OpenID，主要是从易用性的角度来看。我仍然相信它的安全性，但它有很大的潜力。对此有很多可以说的，但我只想回应以下两点：

为注册增加了重要的时间

只有第一次设置。此外，现在有像雅虎这样的公司提供支持，如果他们不想，很多人甚至不必费心设置 OpenID。如果您使用 Google 或类似的人作为您的 OpenID 提供者，您会认为它们本质上是不安全的吗？您希望他们多久停机一次？

这是钓鱼者的梦想

我确实接受这可能部分正确。但是，网络钓鱼与其说是一个技术问题，不如说是一个社会问题？OpenID 可以使它更容易，但这并不能消除真正的问题是用户这一事实。让用户了解网络钓鱼者的运作方式比试图通过技术保护他们要重要得多。

Answer 14

至少 OpenID 会将您发送到您的 OpenID 提供商以进行登录。
我在 blogspot 上阅读了一个博客，并且有一个链接可以关注这个博客（大概告诉我什么时候有新帖子）这样做它会弹出一个框，询问我的 Gmail 用户名和密码。

即使假设这是真实的而不是网络钓鱼网站——他们现在（可能）已经登录到我的 Gmail、我的谷歌文档、我的谷歌应用程序——一切！

Answer 15

从长远来看，拥有 OpenID 的主要好处将会显现。您不必向不同的网站申请身份，只需这样做一次，然后在所有需要唯一身份的网站上使用它。当然，对于像银行和交易这样的安全网站，它需要完全不同的思维方式。但是对于社交网站等，您可以轻松使用它。

妈妈和爸爸也会发现这很容易，因为现在他们只需要记住一个用户名/密码。很多时候，我们很难记住我们在哪个站点上的登录信息，并最终在站点 B 上使用站点 A 的正确用户名/密码。OpenID 将解决这个问题。此外，对于 OpenID 提供者和用户来说，这是一个很好的收入模式。我可以向这样的提供商输入我愿意提供的所有细节，并且我提供的每一个这样的细节都可以赚钱。

也许供应商可以诱使我告诉它更多关于我自己的信息，以此作为激励，然后它可以将其出售给我注册的网站。所以站点 A 为我的信息支付 OpenID。OpenID 然后将其中的一部分传递给我。站点A不用管用户，OpenID拿钱，用户拿钱，大家开心：）

这样您就不必强制使用 OpenID。人们自己会想要它。然后，OpenID 提供商将相互竞争以提供更好的服务，并且在存在竞争的地方，将为所有相关人员提供更好的价值。我认为这是一个绝妙的主意。

编辑： 关于一个特定提供商的停机时间；如果 OpenID 提供者 A 对提供 100% 的正常运行时间没有信心，它可以借助另一个提供者 B 的帮助，并且提供者 A 上的用户可以从提供者 A 提供的选项中进行选择。前往提供者 A 对用户进行身份验证的站点将知道在提供者 A 不工作的情况下要访问哪些其他提供者。这将在首次登录时自动存储在其数据库中。有人想集思广益实施细节吗？:)