在站点上仅使用 OpenID 身份验证有什么好处？

Question

从我的经验来看 开放ID, ，我看到了一些显着的缺点：

添加一个 单点故障 到网站
即使检测到，也不是站点可以修复的故障。如果 OpenID 提供商停机三天，该网站有什么办法允许其用户登录并访问他们拥有的信息？

每次用户登录您的网站时，将用户带到另一个网站的内容
即使 OpenID 提供商没有错误，用户也会被重定向到其站点进行登录。登录页面包含内容和链接。因此，用户实际上有可能被吸引离开该网站，进入互联网兔子洞。

为什么我要将我的用户转到另一家公司的网站？
[ 笔记：我的提供商不再这样做，并且似乎已经解决了这个问题（目前）。]

为注册增加了不小的时间
要注册该网站，新用户必须阅读新标准，选择提供商并注册。标准是技术人员应该同意的，以便使用户体验顺畅。它们不应该强加给用户。

这是网络钓鱼者的梦想
OpenID 非常不安全，在用户登录时窃取其 ID 非常容易。[摘自大卫·阿诺的 回答 以下 ]

---

尽管有所有的缺点，但它的一个优点是允许用户减少在互联网上的登录次数。如果站点选择加入 OpenID，那么需要该功能的用户就可以使用它。

我想了解的是：
网站制作 OpenID 可以获得什么好处 强制的?

Answer 1

缺点列表忽略了最明显的一个：这是网络钓鱼者的梦想。OpenID 非常不安全，在用户登录时窃取其 ID 非常容易。

马特·谢泼德 (Matt Sheppard) 的答案一针见血：仅使用 OpenID 的好处是，它为网站创建者带来了更少的麻烦，因为不需要处理用户名和密码，也不需要用户帐户创建代码。

Answer 2

强制使用 OpenID 的好处在于，无需编写网站的登录代码（除了 OpenID 集成之外），并且无需在存储用户密码等方面采取预防措施。

没有自己的登录代码也意味着不必处理很多支持问题，例如重置丢失的密码等。

当然，你的大部分缺点都是有效的，所以我想这成为了一种权衡。

令我惊讶的是，没有更多的网站与特定 OpenID 提供商建立密切关系，以简化帐户注册阶段 - 即。某种“您可以使用任何您喜欢的 OpenID，但您也可以通过输入用户名和密码等立即创建一个”登录页面，该页面会自动为您创建一个与所选提供商的新帐户。

Answer 3

这是外包部分基础设施的好方法。您不必担心丢失密码等问题，其他人会为您做这件事。

不过，我不确定我是否会专门使用它。我还没有充分使用 OpenID 来完全信任它，并且需要简化注册过程，直到 > 90% 的用户拥有 OpenID。

Answer 4

为站点添加故障关键点

第三高 Stackoverflow 用户之声的想法 是允许更改 OpenID 提供商。评论中建议允许关联超过 OpenID。在多个 OpenID 可以与一个帐户关联的网站上，如果您常用的 OpenID 提供商已关闭，您仍然可以使用其他提供商登录（假设您已将其与该网站关联）。

此外，对于无法正常工作的 OpenID 提供商的用户来说，这只是一个关键故障点。其他 OpenID 提供商的所有其他用户都可以继续登录它。随着时间的推移，您会期望用户会迁移到最可靠的提供商。

每次用户登录您的网站时，将用户带到另一个网站的内容

如果您已将 OpenID 提供商设置为始终信任某个站点（或术语中的 OpenID 消费者），并且您已经登录到您的 OpenID 提供商，那么他们会将您直接重定向回该站点，而您甚至不会看到您的 OpenID 提供商站点。

为注册添加非试用时间

目前这可能是真的，但正如 andyuk 所说，“支持 OpenID 的站点越多，这个问题就不再是问题”。我预计几年后大多数用户将已经拥有 OpenID 并且知道它是什么。

Answer 5

从工程角度来看，仅使用 OpenID 的一大好处是，抽象出凭据身份验证部分可以让用户选择比您为站点构建的任何身份验证方法都要复杂得多的身份验证方法。是的，一些 OpenID 提供商很容易遭到网络钓鱼。另一方面，其他 OpenID 用户使用信息卡、硬件令牌或电话验证登录，这些凭证 不能 被网络钓鱼者捕获并重放。

饰演 加布·瓦乔布 把它:

想要在身份验证方法方面进行创新的人 [...] 不一定是在网络上提供服务方面进行创新的人（运行 Mediawiki、Drupal 等的一百万人中的任何一个）。认证创新和服务创新的“脱钩”正是OpenID的可贵之处。

因此，通过使用 OpenID，您可以为用户提供更强大的身份验证方法。这种抽象允许您实现一个接口，然后您可以选择任何提供者进行合作，无论他们使用明文形式的八个字符密码还是质询响应神经植入物。

Answer 6

它鼓励用户注册 OpenID、了解更多信息并希望自己宣传它。

Stack Overflow 证明仅支持 OpenID 就可以发挥作用。

“为站点添加故障关键点”

如果 OpenID 提供商无法工作，站点应该有一种机制允许用户登录和添加/更改 OpenID 提供商。也许该网站可以通过电子邮件发送临时链接来绕过安全性，以便用户可以访问他们的帐户。

“将用户带到另一个网站的内容，并在他们每次登录您的网站时”

我的 OpenID 提供商允许我信任给定的网站，因此我什至不需要查看他们的网站。

“在注册中添加非试用时间”

支持 OpenID 的站点越多，这个问题就越小。

Answer 7

作为一名 Web 开发人员，我非常喜欢 OpenID 的理念。编写授权代码是一件很痛苦的事情。作为一名网络用户，我是 OpenID 的忠实粉丝 - 对于非关键用途，如 SO、论坛等 - 因为一旦您拥有 ID，这是加入网站的一种非常简单的方法。

我认为，除了少数例外情况（例如开发人员社区），目前您不能仅强制使用 OpenID。“普通”网络用户（无论这意味着什么）不明白这一点。然而，在这样的网站上推广它可以提高开发人员的意识，并且这个想法最终会流传下来。随着 OpenID 出现在越来越多的网站上，人们会查看它，意识到他们拥有一个，然后开始使用它。为了让 OpenID（这是一个好主意）流行起来，需要有足够数量的用户和站点支持它。

最终，这将只是“本来的样子”，我们会想知道为什么我们要为我们制作的每个网站创建身份验证代码，或者为什么我们要在网络上的每个地方创建一个唯一的身份

Answer 8

正如其中一个播客中所讨论的，它增加了流浪者进入的障碍，因为他们想知道这是否是他们应该发布 Yahoo! 的地方。回答问题。

这有点精英主义，但考虑到该网站的重点，拒绝任何无法弄清楚 Open ID 流程的人是相当可以接受的，并且任何真正有真正需要回答的问题的人都可以费心去解决任何问题。轻微的困难。

Answer 9

根据我使用 OpenID 的经验，我看到了许多显着的优点：

如果您选择使用值得信赖的 OpenID 提供商登录，例如。Verisign PIP+VIP 您可以享受带外 SecureID 身份验证机制的好处。这应该被视为比所有其他好处更重要的主要好处。您不再信任您访问的网站上任何基于表单的蹩脚身份验证，而是信任 Verisign VIP 或您选择的 OpenID 提供商。

互联网兔子洞？听起来实施很糟糕，我不知道你指的是什么。

您无法轻易窃取身份验证详细信息，这比我们现有的更接近不可能！您也许可以欺骗我，让我以为我正在联系我的提供商，但威瑞信可以选择不允许或接受重定向。我认为这些网络钓鱼问题也是微不足道的，尤其是当您将其与通过 OpenID 身份验证提供商获得的带外身份验证机制的好处进行权衡时。因此，假设您一次钓鱼了 RSA 密钥详细信息，那么下次它就无效了，或者如果您说使用浏览器证书，则它可能完全没用。

总而言之，OpenID 只是当前系统的演变，一个用于验证的电子邮件地址。如果您的电子邮件帐户是您当前的单点故障，那么是的，当您控制的 OpenID 不再受您控制时，您的 OpenID 可能会成为您新的单点故障。因此，如果您只信任您的电子邮件服务器，那么只需托管您自己的 OpenID URL 即可。如果您信任 Gmail，请为您的 OpenID 使用 Gmail URL，因为同样，您已经信任 Gmail 作为您的 SSO，因为您的 Gmail 帐户最终可以检索您的帐户密码。

这是显而易见的，但我可以看到有些人可能很难理解身份验证机制的基本概念。如果我可以使用我的 SecureID 卡（通过我的 OpenID 提供商）登录到我拥有帐户的网站，我会的。所以如果这是唯一的选择，我会选择它！

Answer 10

为站点添加故障关键点

关键的失败点可能是您发出的确认电子邮件，但用户的邮箱 a) 由于拼写错误而无法使用，b) 已满或 c) 提供商“已关闭”。

每次用户登录您的网站时，将用户带到另一个网站的内容

我可以看到这一点，但恕我直言 - 这还不错。我的意思是，Y！似乎是最混乱的登录之一，而且它对我来说也不起作用。;) 除此之外，大多数 OpenID 提供商看起来还没有那么糟糕。

另外，请牢记您的观众。如果妈妈和爸爸是你的用户，OpenID 可能会让人非常困惑。但互联网上可能有很多这样的情况。在 SO 的例子中，人们都是一些精明的用户，知道他们想要什么。

为注册添加非试用时间

这不是问题。查看提供商列表：http://openid.net/get/

很多人至少拥有一个 Yahoo!帐户，所以如果它确实有效。事情不会那么糟糕。我同意，如果用户没有 OpenID，并且不知道它的用途。教育他们可不是那么容易的事。

想想这句话的含义——“要注册站点 A，您需要在站点 B 注册”。我们都知道注册本身是一件很痛苦的事情。但从长远来看，这也正是 OpenID 试图解决的问题。

在主流领域，我目前认为强制 OpenID 没有任何价值。不过我喜欢它作为一个附加组件。人们如何提供“使用 Facebook 登录”等链接。那么那些不明白（或者不关心）的人就不需要费心了。但其他人仍然可以使用它。

Answer 11

OpenID 可能是自切片面包以来最伟大的事情，但我没有理由相信“他们”知道我的身份 - 除了杰夫·阿特伍德/乔尔·斯波尔斯基让我这样做，以便在这里抱怨它;-)

Answer 12

还有一点值得一提。您已经拥有使用 OpenID 的用户群，他们只需要登录即可。

Answer 13

我赞成OpenID，主要是从易用性的角度来看。我仍然相信它的安全性，但它有很大的潜力。对此可以说的有很多，但我只想回应以下两点：

在注册中添加非平凡的时间

仅在第一次设置时。此外，随着雅虎等公司现在提供支持，许多人甚至不必费心设置 OpenID（如果他们不愿意）。如果您使用 Google 或类似的公司作为您的 OpenID 提供商，您是否会认为它们本质上不安全？您预计他们多久会有一次停机时间？

这是网络钓鱼者的梦想

我确实承认这可能部分正确。但网络钓鱼与其说是一个技术问题，不如说是一个社会问题吗？OpenID 可以让事情变得更容易，但这并不能消除真正的问题在于用户的事实。让用户了解网络钓鱼者的运作方式比试图通过技术保护他们要重要得多。

Answer 14

至少 OpenID 会将您发送到您的 OpenID 提供商进行登录。
我正在 blogspot 上阅读一篇博客，有一个链接可以关注该博客（大概是在有新帖子时告诉我），执行此操作时，会弹出一个框，询问我的 Gmail 用户名和密码。

即使假设这是真实的而不是网络钓鱼网站 - 他们现在（可能）可以登录我的 Gmail、我的 Google 文档、我的 Google 应用程序 - 一切！

Answer 15

从长远来看，拥有 OpenID 的主要好处将会显现出来。您不必向不同的站点申请一个身份，只需执行一次，然后在所有需要唯一身份的站点上使用它。当然，对于银行和交易等安全网站来说，需要完全不同的思维方式。但对于社交网站之类的你可以轻松使用它。

爸爸妈妈也会发现这很容易，因为现在他们只需记住一个用户名/密码。很多时候，我们很难记住在哪个站点上的登录信息，最终在站点 B 上使用了站点 A 的正确用户名/密码。OpenID 将解决这个问题。此外，对于 OpenID 提供商和用户来说，这也是一个很好的收入模式。我可以向这样的提供商输入我愿意提供的所有详细信息，并且我提供的每一个此类详细信息都可以赚钱。

也许提供商可以诱骗我告诉它更多关于我自己的信息，以此作为激励，然后它可以将其出售给我注册的网站。因此，站点 A 向 OpenID 支付我的信息费用。然后 OpenID 将其中的一部分传递给我。站点A不用管理用户，OpenID有钱，用户也有钱，皆大欢喜:)

这样您就不必强制使用 OpenID。人们自己也会想要它。然后，OpenID 提供商将相互竞争以提供更好的服务，而有竞争的地方就会为所有相关方提供更好的价值。我认为这是一个很棒的主意。

编辑： 关于某一特定提供商的停机时间；如果 OpenID 提供商 A 没有信心提供 100% 的正常运行时间，它可以寻求另一个提供商 B 的帮助，并且提供商 A 上的用户可以从提供商 A 提供的选项中进行选择。访问提供商 A 来验证用户身份的站点将知道在提供商 A 无法工作的情况下该访问哪些其他提供商。这将在首次登录时自动存储在其数据库中。有人想集思广益实施细节吗？:)