Security OpenID提供者-什么阻止恶意提供者？

所以我喜欢OpenID的想法。我在我的网站上支持它，并在任何可能的地方使用它（就像这里！）。但有一件事我不清楚

一个支持OpenID的网站基本上接受任何OpenID提供者，对吗？对于那些希望减少bot注册的站点，这是如何工作的？如何阻止恶意OpenID提供商自动设置无限制的机器人ID

---

我有一些想法，并将其作为可能的答案发布，但我想知道是否有人能看到我遗漏的明显内容？

可能的解决方案-您仍然可以要求新ID通过验证码测试。就像机器人可以使用伪造/多个电子邮件地址注册到任何站点一样，但也无法通过“验证”步骤

---

还是我们必须开始维护供应商黑名单？考虑到建立一个新的提供者是多么的简单，这些都不会很好地工作。

OpenId只不过是用户在注册站点时选择的用户名和密码。你不需要依赖OpenId框架来淘汰机器人；您的注册系统应该仍在这样做。

据我所知，OpenID只处理标识，而不是授权。停止机器人程序是一个授权问题。

您混淆了两个不同的东西-身份和授权。仅仅因为你知道某人是谁，并不意味着你必须自动给予他们做任何事情的许可。Simon Willison在关于白名单的更多讨论中对此做了很好的阐述。

对您的问题的简短回答是，“它不是。”OpenID故意只提供了一种拥有集中身份验证站点的机制；由你决定你个人认为哪些OpenID提供商是可以接受的。比如微软。公司可能只允许从LDAP支持的接入点登录OpenID，政府机构可能只接受来自生物特征支持站点的OpenID，博客可能只接受TypePad，因为它们会进行大量垃圾邮件审查

---

在OpenID上似乎有很多困惑。它最初的目标只是提供一个标准的登录机制，这样，当我需要一个安全的登录机制时，我可以从任何或所有OpenID提供者中选择来为我处理这个问题。允许任何人在任何地方建立自己的受信任的OpenID提供者从来都不是目标。毕竟，有效地进行第二步是不可能的，即使使用加密，您也没有理由不设置自己的提供商来安全地撒谎并说它正在验证您想要的任何人。拥有一个单一的、标准化的登录机制本身已经向前迈出了一大步。

请注意，与传统的“每个站点”登录不同，OpenID为您提供了一个可能超越单个站点的身份。更好的是，这个标识甚至是一个URI，因此它非常适合与RDF一起使用来交换或查询关于该标识的任意元数据

你可以用OpenID做一些新用户的传统用户名做不到的事情

首先，您可以执行一些简单的白名单操作。如果*.bigcorp.example是来自大公司员工的OpenID，并且您知道大公司不是垃圾邮件发送者，那么您可以将这些OpenID列入白名单。这应该适用于半封闭的网站，也许这是一个为现在和过去的员工提供的社交网站

---

不过更好的是，您可以从使用特定OpenID的其他地方进行推断。假设您有一个从Stackoverflow.com到信誉值的OpenID映射。当有人带着OpenID出现在您的web论坛上时，您可以看到他们在Stackoverflow是否享有良好声誉，并跳过这些用户的验证码或试用期。

身份验证和身份验证是一样的。我想你指的是认证和授权之间的区别。这两个链接都失效了。