我正在研究OpenId,看看它是否是我网站的一个很好的解决方案,有些事情让我很困惑。如果我错了,请纠正我。
“我的理解是,OpenID的工作方式是用户将凭证发送给授权服务器,而TRUSTED服务器会说明该用户是否合法。”
现在,让我们以Stackoverflow为例。我看到雅虎和谷歌的所有这些图标以及所有内容,我猜Stackoverflow说这些是我信赖的供应商,如果他们信任你,我相信你。
现在,还有一个按钮表示OpenID,我可以继续在那里注册。现在是一个独立的授权服务器?谁是提供者?
如果我想将openID嵌入到我的网站项目中。我应该使用哪个授权服务器? 每当我搜索OpenId时,我都会看到这个OAuth;它是授权服务器吗?
答案 0 :(得分:3)
OpenID是标准,而不是身份验证提供程序。
OAuth是OpenID的补充。
[Google有一个相当不错的流量解释: https://developers.google.com/accounts/docs/OpenID]
许多网站仅为简化流程提供特定身份验证提供程序的选项。 OpenID URI不统一,因此您无法告知(例如)来自电子邮件地址的URI。
某些身份验证提供商(如Google)让您很难找到您的OpenID实际上是什么,可能是为了让用户更加透明地登录(并随后为依赖方网站添加品牌)。
如果您知道您的OpenID URI是什么,您应该能够在任何兼容的网站上输入它,而无需通过“选择已知的提供商”步骤。但是,该选项是否可用,由作者自行决定。
[至于auth提供商的“可信度”,有一些潜在的问题: http://en.wikipedia.org/wiki/OpenID#Security]
[OpenID基金会有正式答案:http://openid.net/get-an-openid/]