identification de l'utilisateur avec openID
https://stackoverflow.com/questions/1283868
-
18-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Depuis que je ne l'ai jamais utilisé openID befor Je ne sais pas à ce sujet.
Je veux savoir quand quelqu'un veut se connecter à mon site avec OpenID dois-je enregistrer ses informations (est-il un processus d'inscription efen si l'utilisateur ne remplit pas les informations).
dois-je fournir un enregistrement utilisateur classique autre côté openID.
La solution
Opinionated Rant
Mon opinion sera presque certainement impopulaire; mais je vais le faire de toute façon, « pour le bien de la vie privée »:)
OpenID est pas une bonne idée; généralement dans la sécurité informatique, il est considéré comme mauvais d'avoir un seul compte pour tout, comme si ce compte est compromis la personne peut compromettre tous les services qui s'y rattachent.
ce qu'OpenID constitue une violation tout à fait directement.
En plus de cela, il crée un point de défaillance unique, et si le protocole est montré un défaut [supprimé la référence incorrecte au défaut OAuth] cela signifie que vous êtes sensibles partout.
Maintenant, il va sans dire que la commodité OpenID fournit; et bien sûr qu'il fait, mais pour moi, le coût de c'est trop grand.
Personnellement, j'étais un peu frustré de constater que la seule était OpenID façon de vous inscrire sur ce site; je vous conseille donc de vous que vous fournissez un mécanisme alternatif (et si elle était moi, je n'implémenteraient OpenID pas du tout).
Résumé
Oui. Fournir des solutions de rechange (à mon humble avis).
Autres conseils
La meilleure expérience de connexion OpenID n'a pas d'enregistrement de l'utilisateur. Vous acceptez et vous leur OpenID et votre utilisateur sont tous deux fait. Parlez de l'abaissement de la barrière à se joindre à votre site Web. Il ne va pas beaucoup plus facile que ça! Si vous devez recueillir plus d'informations sur un utilisateur en plus seulement leur identifiant revendiqué OpenID, ce qui est une règle générale avec l'enregistrement des utilisateurs: garder un minimum, et de préférence ne demande pas les informations supplémentaires jusqu'à ce que l'utilisateur demande en fait un service qui exige que vous collectez que des données particulières. Cela permet de garder l'utilisateur intéressé par votre site et ne le conduit pas / l'éloigner.
Et si vous écrivez un nouveau site Web, je vous encourage fortement à pas accepter le nom d'utilisateur / mot de passe anti-modèle. Si vous faites bien votre connexion OpenID (aujourd'hui, cela signifie probablement faire de gros, les boutons de connexion Google et Yahoo de premier plan, puis un petit bouton qui fait une OpenID zone de texte apparaît), alors les utilisateurs ne se confondre. Avant qu'OpenID, beaucoup de sites ont « Connexion avec Yahoo! » boutons sur leurs sites et utilisateurs « got it ». Il suffit de regarder peut OpenID comme ça et être facile pour l'utilisateur.
En n'offrant un style nom d'utilisateur / mot de passe de connexion, vous forcez un peu l'utilisateur (avec votre identifiant OpenID ultra-facile) pour commencer à se habituer à ne pas réutiliser un ancien ou d'inventer un nouveau mot de passe sur votre site. Nous en tant que webmasters doivent former les Internautes à cesser de donner leurs mots de passe privés à tant de sites Web.
Notre solution était de lancer notre propre fournisseur OpenID et ne le dire à personne. Si vous choisissez de vous connecter sans openID vous êtes redirigé vers un serveur OpenID très verrouillé. C'était super que nous avons commencé avec 1 place et ont maintenant 4 et ils peuvent tous les comptes d'actions. Notre fournisseur ne vous laissera pas l'utiliser partout ailleurs (ne peut pas se connecter ici avec elle).
vous pouvez faire comme site stackoverflow, nouvel utilisateur sera inconnu jusqu'à ce que l'utilisateur de remplir ses informations, et dans votre site web, vous pouvez interdire à l'utilisateur d'afficher s'il n'a pas terminé son profil info.
dois-je fournir une alternative enregistrement classique de l'utilisateur à côté openID
oui, vous devez fournir peut-être parce que l'utilisateur ne dispose pas d'enregistrement openID ou il ne sait rien au sujet de la technologie openID.
