OpenID改造和可以我相信在那里敏感的数据是参与？

Question

我正在考虑加入OpenID到我们的面向客户的管理和控制面板的领域...

1-联OpenID的现有帐户

为客户已经有帐户与我们的，我想他们会需要登录使用他们现有的帐号，即我们的问题，并然后我就会有一个机制来协他们OpenID与该账户自己的账户管理的区域(称之为'OpenID管理'为论据).

在OpenID经理的，假定的用户已经有一个OpenID，我会验证用户的身份，对他们的OpenID然后与我们产生的账户号码为今后的OpenID登录帐户(假定它们认证的"确定")?

2敏感的数据

虽然我们不要储存的全部信用卡的数据，在我们DB有其他数据的敏感、发票、域名注册的细节等。在阅读这篇文章 http://idcorner.org/2007/08/22/the-problems-with-openid/ 我有点谨慎的有关想法的使用OpenID以这种方式，什么是一般的共识你的人?

Answer 1

在我看来，很多反对OpenID的论据要么是出于无知，要么是被斧头碾压的人。

例如，您链接到的文档抱怨用URI标识自己是“非人性化而且有点可怕”。这是一个合法的投诉，还是一些人迫切希望找到要抱怨的东西？

提出的两个主要问题是网络钓鱼和帐户泄密，这些争论多次被重新考虑，如果他们再次提出这些论点并且没有新的要点，那么很难认真对待。

网络钓鱼防护取决于提供商。一些提供商提供比典型网站更好的安全性。有些提供商只提供典型的用户名和密码。无论哪种方式，如果一个帐户被泄露，这是用户和他们的提供商之间的事情，那不是你的担忧。您不必担心最终用户的计算机上安装了键盘记录器，对吗？这是因为他们的本地安全性不是您的责任，即使它可能用于访问其帐户。与OpenID一样 - 它的安全性不是您的责任。

如果您破坏了OpenID，它可以让您访问多个网站。当然，但电子邮件也是如此。只是说你已经忘记了密码，而且你收到了一个新的密码。您现在可以访问他们使用该电子邮件地址注册的每个帐户。

OpenID并不比现状更差，并且在许多情况下它显着更好，特别是对于知情用户。如果您仍然对它保持警惕，那么只需将其设为可选项，这样只有知情的用户才能使用它。

Answer 2

我会允许注册的 多 公共账号用特别帐户。这是一个不错的功能，因为它允许用户之间迁移的公共账号应的需要不断出现。

---

这就是说，idcorner链路提出了一个很好的点。我想他大规模overblows安全问题，并使许多愚蠢的假设关于如何OpenID提供者的工作，但是这OpenID真的不是要取代所有形式的用户身份验证。它的设计以方便用"驱动器"用户进行互动网站与某种形式的基本身份验证。

• 曾经是别人的博客的，想要发表评论，但首先你要步骤通过3页的注册？OpenID解决这一问题。
• 希望以后一个快速的错误报告的一个公开追踪，但需要一个帐户第一？OpenID救援。
• 要存储敏感的专有数据在网上访问的方式，并提供访问，只要人们信任？OpenID是 不 该解决方案。