Web 用openID识别用户

因为我以前从未使用过openID，所以我对此一无所知

我想知道当有人想使用openID登录我的网站时，我是否必须注册他的信息（如果用户不填写信息，是否有任何注册过程）

---

我是否应该在openID之外提供一个替代的经典用户注册

固执己见的咆哮

我的观点几乎肯定不受欢迎；但无论如何，我还是要做到，‘为了隐私’：）

OpenID不是一个好主意；通常，在计算机安全中，所有东西都只有一个帐户被认为是不好的，就好像这个帐户被破坏了一样，这个人可以破坏它附带的所有服务

OpenID非常直接地违反了这一点

除此之外，它还创建了一个单点故障，如果协议显示有缺陷[删除了对OAuth缺陷的错误引用]，这意味着您在任何地方都可能受到影响

现在不用说OpenID提供了便利；当然是的，但对我来说，这成本太高了

就我个人而言，我有点沮丧地注意到OpenID是注册这个网站的唯一方式；所以我建议您提供一种替代机制（如果是我，我根本不会实现OpenID）

摘要

---

对。提供备选方案（IMHO）。

您可以像stackoverflow网站一样，在用户填写其信息之前，新用户将是未知的，如果用户未填写其个人资料信息，您可以在您的网站中禁止该用户发布

我应该提供一个替代方案吗 经典用户注册 openID

---

是的，您应该提供，因为用户可能没有openID注册，或者他对openID技术一无所知。

最好的openID登录体验是没有用户注册。你接受了他们的OpenID，你和你的用户都完成了。谈论降低加入网站的障碍。没有比这更容易的了！如果您必须收集关于用户的更多信息，而不仅仅是他们的OpenID声明的标识符，这是用户注册的一般规则：将其保持在最低限度，最好在用户实际请求需要您收集特定数据的服务之前不要要求额外的信息。这有助于保持用户对您的站点的兴趣，并且不会让他/她离开

如果你正在写一个新的网站，我强烈建议你不要接受用户名/密码反模式。如果你的OpenID登录正确（今天这可能意味着制作大而突出的Google和Yahoo登录按钮，然后再制作一个较小的OpenID按钮，使文本框出现），那么用户就不会感到困惑。在OpenID之前，很多网站都有“使用雅虎登录”按钮，用户“得到了”。OpenID可以看起来就是这样，并且对用户来说很容易

---

通过不提供用户名/密码样式的登录，您在某种程度上迫使用户（使用超简单的OpenID登录）开始习惯于不在您的站点重复使用旧密码或发明新密码。作为网站管理员，我们必须训练网络用户停止向如此多的网站提供他们的私人密码

我们的解决方案是运行我们自己的openID提供程序，而不告诉任何人。如果您选择在没有openID的情况下登录，您将被重定向到一个非常锁定的openID提供程序。这是伟大的，因为我们开始与1个网站，现在有4个，他们都可以共享帐户。我们的提供商不会让您在其他任何地方使用它（不能在这里登录）。

我不喜欢您的意见，但我找不到任何缺陷，所以我很不情愿地投票支持它。据我所知，OpenID最近没有暴露任何安全缺陷。OAuth有，但这是一个非常不同的协议。另一件事：大多数用户（silky you可能是例外）对他们的大多数站点使用相同的用户名和密码。至少OpenID规范化了这一趋势，并让用户能够选择一个强大的提供商（或一组提供商），该提供商具有强大的网络钓鱼保护。正确实现和配置后，OpenID比用户名密码反模式更安全。我喜欢网站只接受OpenID，或者至少当他们不要求我选择密码并将OpenID作为我帐户的独家登录选项时。我认为钓鱼的可能性大大增加，因为现在任何网站都可以声称他们需要OpenID密码，天真的用户不会知道的。你的最后一个论点（评论）在我看来不是openid问题。使用OpenID注册的站点不要求用户名/密码。他们只是将您转发到您指定的站点，在那里输入您的用户名/密码。钓鱼网站可能声称将您转发给您的提供商，但这与一开始就欺骗您的提供商有何不同？OpenID以何种方式增加了网络钓鱼的可能性？我也做了同样的事情。它允许我的客户建立一个集中的计费系统，每个服务都使用属性交换来计算用户支付的费用。我们将拒绝任何外部OpenID提供者，并且我们不会将内部ID公开给外部。这个模型工作得很好，因为每个服务都是在完全不同的环境中编写的，而且它提供了一条清晰的扩展路径。