根据我对OpenID的经验,我看到了一些重要的缺点:
向网站添加Single Point of Failure
即使检测到,也不是网站可以修复的故障。如果OpenID提供商停用了三天,该网站有什么办法可以让用户登录并访问他们拥有的信息?
将用户带到其他网站内容以及每次登录您的网站时
即使OpenID提供程序没有错误,用户也会被重定向到他们的站点进行登录。登录页面包含内容和链接。因此,实际上有可能会将用户从网站上拉下来进入互联网兔子洞。
为什么我要将用户发送到其他公司的网站? [注意:我的提供商不再这样做,似乎已解决了这个问题(暂时)。]
为注册添加非常重要的时间
要注册网站,新用户必须阅读新标准,选择提供商并注册。标准是技术人员应该同意的,以使用户体验无摩擦。它们不是应该吸引用户的东西。
这是一个网络钓鱼者的梦想
OpenID是非常不安全的,并且在登录时很容易窃取此人的ID。 [取自David Arno的Answer下方]
对于所有的缺点,一个好处是允许用户在互联网上登录更少。如果某个网站选择加入OpenID,那么想要该功能的用户就可以使用它。
我想了解的是:
网站为使OpenID 强制而获得了哪些好处?
答案 0 :(得分:21)
强制使用OpenID的好处很简单,就是不需要编写网站的登录代码(超出OpenID集成),并且不需要在存储用户密码等方面采取预防措施。
没有自己的登录代码也意味着无需处理许多支持问题,例如重置丢失的密码等。
当然,你的大部分缺点都是有效的,所以我想这会成为一种权衡。
让我感到惊讶的是,没有更多的网站与特定的OpenID提供商建立密切的关系,只是帐户注册阶段 - 即某种'你可以使用任何你喜欢的OpenID,但你现在也可以创建一个输入用户名和密码等'登录页面,自动为您选择的提供商创建一个新帐户。
答案 1 :(得分:8)
这是外包部分基础架构的好方法。您不必担心丢失密码等,其他人为您做。
但是,我不确定我是否会专门使用它。我没有使用足够的OpenID来完全信任它,并且需要简化注册过程,直到> 90%的用户拥有OpenID。答案 2 :(得分:7)
为网站添加失败的关键点
第三高idea on uservoice for Stackoverflow是允许更改OpenID提供程序。在评论中,建议允许关联多于OpenID。如果您的常规OpenID提供程序已关闭,则可以将多个OpenID与帐户关联的站点上仍可以使用其他提供程序登录(假设您已将其与该站点关联)。
此外,对于OpenID提供商的用户来说,这只是一个关键的失败点。其他OpenID提供程序上的所有其他用户都可以继续记录它。随着时间的推移,您希望用户可以迁移到最可靠的提供商。
将用户带到其他网站内容以及每次登录您的网站时
如果您已将OpenID提供程序设置为始终信任某个站点(或命名法中的OpenID使用者),并且您已登录到OpenID提供程序,那么他们会将您直接重定向到该站点,而您甚至不会看到您的OpenID提供者网站。
在注册时添加非审判时间
目前情况可能如此,但正如andyuk所说,“支持OpenID的网站越来越少”。我希望在几年后大多数用户已经拥有OpenID并知道它是什么。
答案 3 :(得分:6)
从工程角度来看,仅使用OpenID的一大好处是,抽象出凭证认证文件可以让用户选择比您为网站构建的任何内容都要复杂得多的认证方法。是的,一些OpenID提供商很容易被钓鱼。另一方面,其他OpenID用户使用信息卡,硬件令牌或电话验证登录,这些是无法捕获并由网络钓鱼者重播的凭据。
作为Gabe Wachob put it:
想要在身份验证方法上进行创新的人不必是在网络上提供服务的创新者(运行Mediawiki,Drupal等的百万人中的任何一个)。认证创新和服务创新的“脱钩”在OpenID中是有价值的。
因此,通过使用OpenID,您可以为用户提供更强大的身份验证方法。抽象允许您实现一个接口,然后您可以选择要使用的任何提供者,无论他们在明文或挑战 - 响应神经植入物中使用八个字符的密码。
答案 4 :(得分:3)
缺点列表错过了最明显的一个:它是网络钓鱼者的梦想。 OpenID是非常不安全的,并且在登录时很容易窃取此人的ID。
然而,Matt Sheppard在答案中找到了答案:仅使用OpenID的好处是它不会给网站创建者带来麻烦,因为没有用户名和密码可以处理,也不需要用户帐户创建代码。答案 5 :(得分:2)
它鼓励用户注册OpenID,了解更多信息并希望自己传播。
Stack Overflow证明只支持OpenID可以工作。
“为网站添加了失败的关键点”
如果OpenID提供程序无法正常工作,该站点应具有允许用户登录和添加/更改OpenID提供程序的机制。也许该网站可以通过电子邮件发送临时链接来绕过安全性,以便用户可以访问他们的帐户。
“将用户带到其他网站内容以及每次登录您的网站时”
我的OpenID提供商允许我信任某个网站,因此我甚至不需要查看他们的网站。
“在注册时添加非审判时间”
支持OpenID的网站越多,问题就越少。
答案 6 :(得分:2)
作为一名网络开发人员,我非常喜欢OpenID的想法。编写Auth代码是一个痛苦的屁股。作为网络用户,我是OpenID的忠实粉丝 - 对于非关键用途,如SO,论坛等 - 因为一旦你拥有了ID,这是加入网站的一种非常简单的方式。
我认为,除了少数例外 - 比如开发者社区 - 此时,您不能仅强制使用OpenID。 “普通”网络用户(无论这意味着什么)都没有得到它。然而,在这样的网站上推广它会提高开发人员的意识,这个想法最终会逐渐消失。随着OpenID出现在越来越多的网站上,人们会查看它,意识到它们有一个,然后开始使用它。为了使OpenID(这是一个好主意)能够流行起来,需要有足够数量的用户和支持它的站点。
最终,它将只是“它的方式”,我们会想知道为什么我们为我们制作的每个网站创建了身份验证代码,或者为什么我们会在网络上创建一个独特的身份
答案 7 :(得分:2)
正如其中一个播客所讨论的那样,它通过想知道这可能是他们应该发布他们的Yahoo!的地方,增加了进入流浪者的障碍。回答问题。
这有点精英,但鉴于本网站的重点,特别是拒绝任何无法弄清楚开放ID流程的人是完全可以接受的,任何真正有他们需要回答的真实问题的人都会受到打扰。通过任何轻微的努力工作。
答案 8 :(得分:2)
根据我使用OpenID的经验,我看到了许多重要的好处:
如果您选择使用受信任的OpenID提供商登录,例如。 Verisign PIP + VIP您可以享受带外SecureID身份验证机制带来的好处。这应该被视为超过所有其他人的主要好处。您不再相信您访问的网站上任何基于形式的蹩脚身份验证,您信任Verisign VIP或您选择的OpenID提供商。
网络兔子洞?听起来很糟糕,我不知道你指的是什么。你不能轻易窃取身份验证细节,它可能比我们已经拥有的更接近不可能!您可能会欺骗我以为我正在联系我的提供商,但Verisign可以选择不允许或接受重定向。我认为这些网络钓鱼问题也是微不足道的,尤其是如果你将它与可以通过OpenID身份验证提供程序获得的带外身份验证机制的好处进行权衡的话。所以说你曾经钓过一次RSA密钥详细信息,如果你说要使用浏览器证书,它下次就没有用,或者说完全没用。
总之,OpenID只是当前系统的演变,是一个要验证的电子邮件地址。如果您的电子邮件帐户是当前的单点故障,那么您的OpenID可能是您控制的OpenID不再受您控制的情况下的新单点故障。因此,如果您只信任您的电子邮件服务器,那么只需托管您自己的OpenID URL即可。如果您信任Gmail,请为您的OpenID使用gmail网址,因为您可以将Gmail信任为您的SSO,因为您的Gmail帐户最终可以检索您的帐户密码。
这不是一件容易的事,但我可以看到有些人可能难以理解认证机制的基本概念。如果我可以使用我的SecureID卡(通过我的OpenID提供商)登录我拥有帐户的网站,我会发现。所以,如果这是唯一的选择,我会接受它!
答案 9 :(得分:1)
为网站添加失败的关键点
关键的失败点可能是您发送的确认电子邮件,但用户的邮箱是a)由于输入错误而无法使用,b)完整或c)提供商“关闭”。
将用户带到其他网站内容以及每次登录您的网站时
我可以看到,但恕我直言 - 这并不是那么糟糕。我的意思是,Y!似乎是最混乱的登录之一,它也永远不适合我。 ;)除此之外,大多数OpenID提供商看起来并不那么糟糕。
另外,请牢记您的观众。如果妈妈和流行音乐是您的用户,那么OpenID可能会让人感到困惑。但在互联网上可能也是如此。在SO的情况下,人们是一些精明的用户,并知道他们想要什么。
在注册时添加非审判时间
这不是问题。查看提供者列表: http://openid.net/get/
这么多人至少有一个雅虎!帐户,所以如果它确实有效。它不会那么糟糕。我同意,如果用户没有OpenID,并且不知道它是什么。教育他们并不容易。
考虑一下这个含义 - “注册网站A,你需要在网站B注册”。我们都知道注册本身就是痛苦的屁股。但从长远来看,这也正是OpenID试图解决的问题。
在主流方面,我目前认为没有必要强制使用OpenID。我喜欢它作为附加组件。人们如何提供“用你的Facebook登录”等链接。那些没有得到它(或者不关心)的人不需要打扰。但其他人仍然可以使用它。
答案 10 :(得分:1)
OpenID可能是自切片面包以来最伟大的事情,但我没有理由相信“他们”与我的身份 - 除了Jeff Atwood / Joel Spolsky让我这样做是为了在这里抱怨它; - )
答案 11 :(得分:0)
还有一件事要提。您已拥有OpenID用户库,他们只需要登录。
答案 12 :(得分:0)
我赞成OpenID,主要是从易用性的角度出发。我仍然相信它的安全性,但它有很大的潜力。有很多事情可以说,但我只想回答以下两点:
添加非常重要的时间 注册
仅在第一次设置时。此外,随着像雅虎这样的公司现在提供支持,如果他们不愿意,许多人甚至不必费心设置OpenID。如果你使用谷歌或类似的OpenID提供商,你会认为它们本身就不安全吗?你有多久会期望他们有停机时间?
这是一个网络钓鱼者的梦想
我确实接受这可能部分正确。但网络钓鱼不是一个社会问题而不是技术问题吗? OpenID可以使它更容易,但这并不能消除真正的问题是用户的事实。让用户了解网络钓鱼者如何操作比尝试通过技术保护他们更为重要。
答案 13 :(得分:0)
至少OpenID会将您发送给您的OpenID提供商进行登录 我正在阅读blogspot上的博客,并且有一个链接可以关注这个博客(大概是告诉我什么时候有新帖子)这样做会弹出一个询问我的Gmail用户名和密码的方框。
即使假设这是真的而不是钓鱼网站 - 他们现在(potentailly)登录我的Gmail,我的Google文档,我的Google应用程序 - 一切!
答案 14 :(得分:-1)
从长远来看,拥有OpenID的主要好处。您只需执行一次,然后在需要唯一标识的所有网站上使用它,而不必为不同的网站申请身份。当然,对于像银行和交易这样的安全网站,它需要完全不同的思维方式。但对于社交网站等,您可以轻松使用它。
妈妈和爸爸也会觉得很容易,因为现在他们只需要记住一个用户名/密码。很多时候,我们很难记住我们在哪个站点登录,并最终使用站点B上站点A的正确用户名/密码.OpenID将解决这个问题。此外,它是OpenID提供商和用户的良好收入模式。我可以向一个这样的提供者输入我愿意提供的所有细节,我给的每一个细节都可以赚钱。
也许提供商可以哄我告诉它更多关于我自己使用它作为激励,然后它可以卖给我注册的网站。因此,站点A支付OpenID以获取我的信息。 OpenID然后将一个切换传递给我。网站A不需要管理用户,OpenID获取资金,用户获得资金,每个人都很高兴:)
这样您就不必强制使用OpenID。人们自己会想要它。然后,OpenID提供商将相互竞争以提供更好的服务,如果存在竞争,将为所有相关方提供更好的价值。我认为这是一个很棒的主意。
修改 关于某个特定提供商的停机时间;如果OpenID提供商A对提供100%正常运行时间没有信心,则可以接受另一个提供商B的帮助,并且提供商A上的用户可以从提供商A给出的选项中进行选择。进入提供商A以验证用户的站点将知道在提供商A不工作的情况下要去哪些其他提供商。这将在首次登录时自动存储在其数据库中。 有人想集体讨论实施细节吗? :)