我的网站能*安全*地*允许通过Facebook Connect、Google Friend Connect、OpenID、*和*等进行登录吗？

一个网站是否可以允许用户通过多种不同的方法登录，如Facebook Connect、OpenID等

不是指同一用户同时登录，而是想知道是否可能有多个“SSO”选项

有没有一个用户的副作用，比如说，拥有OpenID和Facebook的凭据，同时以单独的会话信息登录，以及以某种方式“玩游戏”或欺骗“系统”

这是只提供一个的主要原因吗？还有其他原因吗

更新： 为了澄清一点，我应该说，我们希望使用Facebook Connect，但并非所有预期用户都拥有Facebook帐户。与OpenID等一样，我们确实需要将用户操作绑定到特定的本地“帐户”，这显然会与他们用来登录的任何身份验证提供商同步（或者稍后再绑定，就像这样），但我们希望提供尽可能多的便利

---

也许我们应该自己做

我建议跟踪一个帐户的所有各种身份验证形式。如果用户这样做，则只能这样做。但是这样看吧。没有什么能阻止一个人在自定义身份验证系统上设置多个帐户并执行与选择使用各种类似OpenID的帐户来执行相同的“游戏”！使用这些形式的身份验证以及定制的内部跟踪系统是一种很好的方法，并且不会出现任何新的安全复杂性，而这是您仅使用内部登录系统所无法做到的。它只是为您的用户添加了更多的便利因素（代价是为您编写了更多的代码……但情况并非总是如此？（：P））。

我的计划是让每个SSO提供程序能够从SSO帐户映射到本地用户id。您将能够将多个SSO帐户分配到单个本地帐户。所有这些都整齐地隐藏在一个界面后面，可能使用命令链模式

---

你应该看看如何使用它。他们为您处理所有这些，并允许使用Facebook、OpenId、Windows Live Id等。结果对您来说是透明的——您只需要获得一个不透明的令牌来表示ID。

因此，提供常规内部身份验证系统所不存在的多种登录方法基本上没有什么不存在的缺点？（在本例中，我们当然会将身份验证系统绑定到“本地”用户，但不知道如果使用多个身份验证系统会有什么陷阱）您可以使用任意多个身份验证系统。只要每个可能性都可以绑定到一个帐户…或者所有的可能性都可以绑定到一个帐户（如您所愿），如此类推。没有“新”问题。人们可以创建尽可能多的帐户，因为他们有电子邮件来验证帐户！这里没什么新鲜事。这看起来是个很好的解决方案。除了pickfu.com，还有其他值得注意的使用RPX的网站吗？