我只是在寻找不同的意见。 你认为OpenID是一个很好的“单点登录”解决方案吗?
它的工作方式似乎对普通用户来说有点混乱,并且可能存在与“将所有鸡蛋放在同一个篮子里”相关的问题。
无论如何,有没有人试图在Intranet的上下文中实现自己的OpenId解决方案,其中有许多不同的应用程序(Wordpress,Elgg,Media Wiki,..)??
我认为这可能是解决“数字身份”问题的一个很好的解决方案,但我不知道它是否适用于“登录一次并浏览内联网”问题。
评论?
答案 0 :(得分:7)
另外,SSO(正如你所提到的)通常意味着我只需要登录一次(大概是我的工作站),然后从那里开始,我不需要在任何地方登录。
OpenID当然不能解决这个问题。例如,如果我使用OpenID登录StackOverflow,这并不意味着我不需要使用相同的openID再次登录到其他网站。
答案 1 :(得分:5)
我不得不说,我绝对同意这对“普通”互联网用户来说太难了。我认为OpenID仍然可以被认为是“新的”,即使最初的提案早在2005年。更多高流量网站将其作为创建帐户的一种选择,而不是要求用户提供OpenID。 / p>
在我看来,只要普通用户名/密码帐户创建与OpenID一起提供,普通的互联网用户自然会开始尝试并最终坚持使用OpenID。
身份验证问题同样适用于在任何网站上注册的OpenID。您使用密码信任该网站(假设您不使用密码存储程序),因此不应对OpenID使用。
除此之外,创建帐户的标准化对于Web开发人员来说绝对是一种精华。我只是不想担心正常的创建过程,而只是放入OpenID库并将其引用到数据库。
答案 2 :(得分:4)
我花了一段时间才了解OpenID(这么多提供商!)但我真的很喜欢这个概念。将其与Gravatar联系起来并重写您的个人资料更加轻松 - 可能只有一两个领域。
唯一的问题是你必须相信你的OpenID提供者 - 但这并不是我所谓的问题,更像是常识。
编辑:有OpenID提供商问题的人应该考虑设置一个新的。我的提供者是myopenid.com,我没有遇到任何问题。您可以设置多个角色(如个人资料),因此我有一个用于博客评论,一个用于此类技术网站。
至于有一个新的SO个人资料杰夫说了一些关于能够在不丢失你的个人资料统计数据的情况下更改你的OpenID的事情。
答案 3 :(得分:4)
OpenID存在一个小问题。
使用OpenID无缝登录需要在域之间自动(未经验证)重定向。
这使得OpenID服务器成为第三方。如果您关闭第三方cookie并且您的浏览器严格遵循RFC2965的3.3.6中的Unverifiable Transactions规则,这可能导致OpenID服务器的cookie被拒绝。
这方面的一个例子是Opera。如果您关闭第三方cookie(通过将全局设置为“仅接受我访问的站点中的cookie”),您无法使用OpenID登录,因为您自动提交的服务器脚本(无需您的交互批准)重定向您到OpenID服务器和OpenID服务器也会这样做,以便让您回来。
但是,你在Firefox,IE和Safari中幸运地得到了相应的第三方cookie阻止功能,因为它们在多种情况下都违反了RFC2965。
在这种情况下必须使用OpenID会对更合规的客户造成伤害。
作为一种解决方法,在Opera中,除了接受所有cookeis之外,你还可以转到工具 - >偏好 - >高级 - >网络并关闭自动重定向。然后,您将能够验证并单击您重定向到的每个链接,并且不会拒绝cookie,因为交易已经过验证。
如果您保持自动重定向,它也应该有效,并且两个服务器都生成一个页面,其中包含您单击的链接,以便您可以验证该事务。但是,任何地方都不能有任何自动重定向。
只使用用户名和密码登录,在这种情况下,您只处理第一方Cookie会更好。
OpenID仍然很酷,我猜Opera只需要一个选项,允许SO和你的OpenID服务器之间进行无法验证的交易,这样你就可以在这里使用“仅接受来自我访问的网站的cookie”。
答案 4 :(得分:4)
can someone briefly explain Single sign on? i want to use openid as SSO上的最佳答案解释了OpenID和SSO的不同之处:
单点登录是指在一个地方登录并拥有该登录 自动在其他位置验证您。 OpenID就是这样的 将身份验证委派给OpenID提供程序,以便您可以有效地进行 使用一组凭据登录多个站点。
同一篇文章也对原始问题给出了很好的答案:
您可以使用OpenID作为SSO的身份验证方案,但这是偶然的。
答案 5 :(得分:3)
我对OpenID非常矛盾。一方面,它解决了“身份提供商发现问题”(依赖方网站如何确定将用户发送到何处进行身份验证)。另一方面,URL对普通用户来说非常笨拙。
我看到OpenID,因为它目前在通往Web身份解决方案的道路上是一个有用的停止,但肯定不是最终目的地。
具体解决您的Intranet问题,OpenID可能不是正确的答案。正如我上面提到的,OpenID使您能够找到身份提供者,但代价是在每个依赖方输入该URL。如果您要在某个内部身份提供商处对所有用户进行身份验证,并且只接受来自该身份提供商的用户,那么OpenID确实对您没有多大帮助。
我会查看CAS或OpenSSO等系统,其中任何一个系统都会将用户重定向到登录页面,而无需输入网址。我recently blogged关于一家公司在短短4个月内将3000个用户的OpenSSO推广到40个内部网应用程序,其中包括IIS 6.0,Apache,JBoss和Tomcat上的应用程序。
答案 6 :(得分:1)
我认为OpenID过于混乱和笨拙强迫任何用户,我甚至不相信它正在解决一个真实的问题。必须在我使用的每个站点上注册从未让我感到头疼。特别是因为它没有特别解决这个问题;当我将我的OpenID链接到StackOverflow时,我必须填写额外的详细信息无论如何。它可能会有一个定期的注册过程,以弥补它所带来的所有差异。
答案 7 :(得分:1)
嗯..我喜欢一个简单的登录-pwd组合(我可以通过Passwordmaker.org轻松一下)。 无论作为开发人员,我都能理解他们不想再次重新发明登录轮......
的OpenID:
我输入我的博客url => Google登录=>我在。
这是一个额外的水平..但没关系。
答案 8 :(得分:0)
实际上,在StackOverflow的情况下,一个单独的帐户会给我带来很多麻烦。我决定使用我的WordPress.com OpenID,因为那是我托管我的博客的地方,但事实证明WordPress.com的OpenID服务存在严重问题,而且大多数时候我无法登录StackOverflow一点都不当然,我可以使用不同的OpenID提供程序登录,但之后我会在网站上拥有不同的身份。
我想你可以说WordPress.com应该归咎于此,但问题重新启动了。通过使用OpenID,您将依赖其他站点的服务来运行。第三方网站上的任何问题都会导致您的网站停用。
作为替代解决方案,我尝试使用我的Yahoo OpenID登录,但随后我获得了一些随机字符串作为用户名,正如DrPizza已经指出的那样,无论如何我都要编辑我的个人信息。
OpenID是一个不错的主意,但它仍然不是我依赖当前状态的东西。
答案 9 :(得分:0)
至少在Intranet场景中,我认为Active Directory(或类似版本)仍然是最佳选择之一。
答案 10 :(得分:0)
至少在内联网方案中,我 认为Active Directory(或类似)是 仍然是最好的选择之一。
是的,无论如何,Active Directory都落后于OpenId Server Provider。
为了在Intranet中开发SSO解决方案,有一些商业选项,如Access Manager(以前的IChain)+ Active Directory,但我不知道除了“自己的OpenId服务器”之外还有一个开放的解决方案+“还有一些很酷的东西开发“+ LDAP。
答案 11 :(得分:0)
但是,这可能意味着。如果您在OpenID站点上的登录已被记住(例如,通过cookie),那么您实际上只需要为每次浏览器会话(或每周一次,每月一次......)登录您访问的所有OpenID站点OpenID当然不能解决这个问题。例如,如果我使用OpenID登录StackOverflow,这并不意味着我不需要使用相同的openID再次登录到其他网站。 - tj9991
浏览器支持和API甚至可以取消密码提示和页面重定向。好主意!
答案 12 :(得分:0)
这不是堆栈溢出的可用性问题,因为无论如何所有用户都是程序员,但是我想不到许多其他网站可以逃脱它。
我认为openID会随着时间的推移而改善,一旦所有使用它的网站开始实现所有功能(比如自动填充关于我的东西),它将更有价值。
答案 13 :(得分:0)
OpenID实现需要付出很多努力并且被认为是成功的,即使这样,您也可能被糟糕的身份提供者(例如Yahoo)所挫败。如果您已经解决了用户体验问题,OpenID可以很好地工作,但是对于大多数用户来说,糟糕的实现是非常困难的。在我看来,OpenID最大的问题是人们试图通过用户意识解决问题。如果只是提供一个OpenID提供商列表,并让用户点击他们想要使用的那个,他们本来会更好。如果提供商不支持规范的2.0版本,有时需要了解提供商如何实施OpenID,但为最终用户提供了更好的整体体验。