我正在考虑将OpenID添加到面向客户的管理和控制面板区域......
1 - 将OpenID与现有帐户相关联
对于已经拥有我们帐户的客户,我认为他们需要使用我们发布的现有帐号进行登录,然后我才有机制将其OpenID与其帐户管理区域中的帐户相关联(为了论证,称之为“OpenID Manager”。
在'OpenID Manager'中,假设用户已经有OpenID,我是否会针对他们的OpenID对用户进行身份验证,然后将我们生成的帐号与未来的OpenID登录相关联(假设他们的身份验证正常)?
2 - 敏感数据
虽然我们没有在我们的数据库中存储完整的信用卡数据,但还有其他敏感信息,发票,域名注册详细信息等。阅读本文后http://idcorner.org/2007/08/22/the-problems-with-openid/我对此问题有点谨慎以这种方式使用OpenID,你们大家的共识是什么?
答案 0 :(得分:5)
在我看来,很多反对OpenID的论据要么是出于无知,要么是被斧头碾压的人。
例如,您链接到的文档抱怨用URI标识自己是“非人性化而且有点可怕”。这是一个合法的投诉,还是一些人迫切希望找到要抱怨的东西?
提出的两个主要问题是网络钓鱼和帐户泄密,这些争论多次被重新考虑,如果他们再次提出这些论点并且没有新的要点,那么很难认真对待。
网络钓鱼防护取决于提供商。一些提供商提供比典型网站更好的安全性。有些提供商只提供典型的用户名和密码。无论哪种方式,如果一个帐户被泄露,这是用户和他们的提供商之间的事情,那不是你的担忧。您不必担心最终用户的计算机上安装了键盘记录器,对吗?这是因为他们的本地安全性不是您的责任,即使它可能用于访问其帐户。与OpenID一样 - 它的安全性不是您的责任。
如果您破坏了OpenID,它可以让您访问多个网站。当然,但电子邮件也是如此。只是说你已经忘记了密码,而且你收到了一个新的密码。您现在可以访问他们使用该电子邮件地址注册的每个帐户。
OpenID并不比现状更差,并且在许多情况下它显着更好,特别是对于知情用户。如果您仍然对它保持警惕,那么只需将其设为可选项,这样只有知情的用户才能使用它。
答案 1 :(得分:1)
我允许使用特定帐户注册多个 OpenID。这是一个很好的功能,因为它允许用户在需要时在OpenID之间进行迁移。
也就是说,idcorner链接提出了一个很好的观点。我认为他大量夸大了安全问题并对OpenID提供程序的工作原理做了许多愚蠢的假设,但OpenID实际上并不是要取代所有形式的用户身份验证。它旨在让“偷渡”用户轻松地通过某种形式的基本身份验证与网站进行交互。