我看到OpenID登录在任何地方都可用,并决定我应该考虑在我的服务器上实现我自己的提供程序,以便我可以控制我的信息和登录。
令人惊讶的是,这非常复杂和困难。
即使许多网站允许OpenID登录(例如此登录),我发现了以下问题:
http://en.wikipedia.org/wiki/OpenID#Security
例如,从2013年8月开始,关于使用Google Plus /个人资料作为代表的SO的解决方案现在收到来自Google的错误,称今年4月将从Google移除OpenID 2.0支持并替换为OpenID Connect:< / p>
Delegate OpenID to Google (NOT Google Apps)
有没有人提供简单的OpenID Connect 单一身份提供商?查看OpenID的OpenID提供商软件列表根本没有提到任何OpenID Connect解决方案,更不用说该页面在4年内没有更新!
http://wiki.openid.net/w/page/12995226/Run%20your%20own%20identity%20server
仔细查看所有这些信息,我很高兴我几年前搁置了我的计划,在我的服务器上实现OpenID 2.0,因为它看起来已经过时了,我想不出一个简单的方法只是证明我的身份。令人惊讶的是,我不能只安装一个软件包并编辑配置文件。大多数更简单的实现涉及安装和使用PHP,它有自己需要了解的安全问题。
那么 - 任何一个OpenID专家和他们去哪里的人谁可以给我一些关于如何设置我的身份提供者或者是否值得困难的建议?我喜欢控制我的信息和分发我的电子邮件地址以及拥有永久的身份,但如果标准不断改变那么它就不是永久性的。
答案 0 :(得分:5)
不推荐使用OpenID 2.0,就在今天,OpenID Foundation批准了OpenID 2.0 to OpenID Connect Migration Guide。
我不是OpenID的专家,但重要的是要注意OpenID Connect与旧版本的根本不同。特别是,它运行在OAuth之上,因此依赖方必须从服务提供商处获取OAuth凭证。
有规格允许RP自动获取这些OAuth凭证(称为Dynamic Client Registration),但规范被标记为“可选”,客户端库中没有广泛支持,我严重怀疑我们'将看到许多应用程序实现动态客户端注册。
OpenID Connect的移动消除了用户和应用程序开发人员(更不用说较小的身份提供商)的权力,并将其全部交给大型的名牌服务提供商。不幸的是,看起来设置您自己的个人OpenID提供商的想法不会成为未来的证据。
答案 1 :(得分:4)
如果您想设置自己的OpenID提供程序,我可以建议您可能想要查看的两个可用选项。它们都是PHP解决方案。
第一个最容易实现,phpMyID已被其所有者弃用,但它已在GitHub上再次上升。我昨天使用PHP 5.6.8快速测试了这个。它只是两个PHP文件。
第二个名为SimpleID,是我目前使用的。我已经用它登录了很多网站,包括这个网站。
但是,OpenID Connect也不是。我正在寻找一个解决方案,以便我可以升级(此搜索吸引我到您的问题)。我到目前为止找到的最佳候选人称为Gluu,但它似乎是一个庞然大物,我还没有尝试过。
SimpleID有一个Trac ticket和一个development branch来支持OpenID Connect,但它似乎处于休眠状态。
我在搜索时发现的另一个有趣的事情是web sign in和IndieAuth。不是OpenID,但仍然很有趣。
答案 2 :(得分:0)
未来的发展当然很难预测。
Google已实施OpenID Connect。他们已经实现了Discovery,但作为一个通用的OIDC IDP,如果没有动态注册,它就不是很有用,因为你仍然必须注册一个应用程序并获得密钥。这可能对我们有利,我担心,因为人们可能更喜欢谷歌登录,因此不关心基于用户提供的电子邮件或URL的OIDC。
根据OpenID Certifications,很少有动态注册实施,但它仍然很年轻,可能会改变。
我真诚地希望完整的OpenID Dynamic将得到广泛采用,最好是电子邮件提供商,以便我们可以根据您的电子邮件进行单点登录,大多数人都可以可以记住,而不是一些模糊的http端点。
我即将为自己的服务器制作这个; node.js中基于openid-connect的简单小型OIDC和webfinger服务器。我们可以轻松地将其广泛采用,当我的miniserver提供npm install时,我会在评论中添加一个链接: - )