我不是问具体的实现,也不是问跨站单点登录机制的全局世界观,我只是想知道社区对 OpenID 底层可用性的看法。您是否认为使用由(非技术观察者)随机提供的各种提供者发布的 URL 来代替实际的用户名是人们会喜欢的东西?如果没有,有没有人有更好的机制?如果有足够的兴趣,我将跟进一个更一般的 SSO 问题。
最佳答案
不。
我不认为这是一个有根本缺陷的系统。就可用性而言,我会说它是有缺陷的,因为它背离了规范,并且更难习惯,即 URL 而不是用户名,必须选择提供商。但我认为它们是唯一的问题,并且可以并且正在做一些改进它们的事情(登录页面的可用性调整,雅虎和谷歌提高对这个想法的认识)。
除此之外,我认为这是一个很棒的系统:
这就是我看到的 OpenID 的主要好处。就缺点而言,还有可用性方面,我承认这是一个问题。人们用来批评 OpenID 的另一个主要观点是,如果帐户被盗用,那么许多登录名都会被盗用。在我看来,这并不比当前将电子邮件绑定(bind)到帐户的系统更糟糕,这种系统可能会受到类似的损害,并用于“忘记您的用户名?”在许多网站上运行。我还想指出,OpenID 并不是要解决这个问题——它是解决多个 ID/密码问题的方法。但是,拥有一个密码可以提供更大的许可来不断更新它以增加安全性 - 无需依赖软件为您记住它,或者一直忘记它。
所以,OpenID 有它的问题,但我会说它是解决多个 ID/密码问题的好方法。
引用:
Interesting Google Talk on the subject
关于openid - OpenID 是一个有缺陷的概念吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/263094/