Мы разрабатываем веб-систему и рассматриваем возможность использования функции Open Id. Как вы думаете, это лучше, чем обычный способ входа пользователей в систему? Если мы используем функцию Open Id, это означает, что пользователи будут перенаправлены на сайт по своему выбору поставщиков Open Id, который предпримет дополнительные действия. Затем они должны войти в систему и вернуться на наш сайт. Будет ли это удобно пользователям?
Примечание: это скорее социальная сеть, но не что-то громоздкое.
Мне нравится OpenID, и он абсолютно лучше, чем "традиционная" метафора учетных данных для каждого сайта. Мне не нужно управлять дополнительными учетными данными, и я не хочу доверять сайту J. Random для безопасного хранения предоставленных мной учетных данных. Я думаю, что пользователям это станет удобнее, так как это станет обычным явлением. Надеюсь, это станет более обычным явлением.
Укажите, пожалуйста, если мы ошибаемся.
Отрицательные просмотры
Положительные мнения
Не забывайте, что это не обязательно должен быть вариант «или / или». Вы можете (и, вероятно, должны) добавить поддержку OpenID в дополнение к традиционным методам входа в систему. «Обычных» пользователей это не отпугнет - они просто используют существующий метод, делая жизнь тем, кто использует OpenID, намного приятнее.
OpenID предоставляет ряд преимуществ, главное из которых позволяет вам не выполнять аутентификацию. Авторизация по-прежнему остается вашей проблемой, но, по крайней мере, вам не нужно беспокоиться о безопасном хранении учетных данных. На мой взгляд, это хорошо. Сети нужно больше доверяющих сторон, таких как сбой сервера.
Если вы входите в систему с OpenID, вам нужно только войти в систему своего провайдера. один раз - во второй раз пользователь даже не увидит страницу провайдера.
Кроме того, возможно RPXnow будет интересно.
Я добавлю это с OpenID, которое вы обычно хотите OAuth который получает преступно низкую прессу.
Другие достаточно подробно проработали OpenID, OAuth добавляет к набору, что другой сайт не только знает, кто вы, через вашего провайдера OpenID, но вы также можете сказать, что этому сайту разрешено знать о вас.
может быть все в порядке. Как насчет тех:
Так OpenID + OAuth - отличная комбинация, используя и то, и другое, у вас есть не только единое место для хранения имени пользователя и пароля, но и место, где вы храните информацию о себе и не теряете обзор того, какой сайт имеет доступ к каким сведениям о вас.
Я лично перешел черту любви к OpenID. Раньше я сопротивлялся этому из-за общей паранойи. Теперь это слишком больно, чтобы все было прямо. Я согласен с тем, что нетехнические пользователи поначалу могут столкнуться с трудностями, но я думаю, что чем шире это становится, тем комфортнее будет людям. Некоторые сайты предлагают как традиционную (локальную) систему аутентификации, так и возможность использования OpenID. Я думаю, что образование здесь очень поможет, поэтому, если вы четко объясните, что такое OpenID и его преимущества, это будет иметь большое значение для принятия.
Как технология единого входа (SSO) она открыта для общих рисков любого SSO. С этой точки зрения я еще не готов интегрировать в него свой банк или медицинские сайты :) Во всяком случае, это не то, что они предлагают ...
Чем больше я посещаю различные веб-сайты, тем больше мне нужна функция единого входа.
Каждый веб-сайт думает о своем в самом важном. Каждый веб-сайт требует, чтобы вы создали учетную запись, прежде чем что-либо делать. StackOverflow, Serverfault, Wikipedia, WowWiki, Wowhead, форумы MS, CodeProject, CodePlex, и так далее, ...
Все они требуют, чтобы я выбрал уникальное имя пользователя, пароль и разветвил свой адрес электронной почты. Затем они настаивают, чтобы я пошел проверить свою электронную почту, прежде чем они позволят мне публиковать, редактировать, загружать, щелкать, комментировать, оценивать и т. Д. нет причина не позволять мне использовать ваш сайт, как только я захожу на него.
Я просто хочу, чтобы они все заткнулись. Мне нужен единый логин, который я могу использовать везде, с адресом электронной почты, который является черной дырой, поэтому мне никогда не придется читать их мусор.
OpenID вроде так. Но это стало возможным только после того, как Google поддержал это. До этого это была собственная система авторизации StackOverflow - они были слишком ленивы, чтобы размещать себя. Теперь, когда Google поддерживает OpenID, вполне возможно, что он уже есть у всех.
В наши дни я не хочу создавать учетные записи на веб-сайтах и проклинаю операторов, которые думают, что мне нужно сначала создать учетную запись.
Не заставляй меня ненавидеть ваш сайт тоже.
Я могу думать о сценарии, когда OpenID сразу же привлечет много пользователей. Предположим, крупный сайт теряет миллионы паролей пользователей из-за злых хакеров [*], и список просачивается. Большинство пользователей будут в панике не только из-за одной конкретной учетной записи, но и из-за того, что они используют один и тот же логин / пароль для нескольких сайтов. И они это делают. Я знаю, что. И я не веду учет этих учетных записей, поэтому в результате я могу никогда не меняй мои пароли.
Теперь, когда я знаю, что злодей может украсть мои аккаунты, что я буду делать? Я постараюсь справиться с этой непосильной задачей по смене паролей. Или я наткнусь на концепцию OpenID и попробую конвертировать все эти учетные записи по случаю. Это означало бы, что у меня все еще есть один логин / пароль для нескольких сайтов, но теперь я могу по крайней мере легко изменить пароль в все они. И в случае, если злые хакеры украдут мой OpenID, у меня возникнет единственная проблема - запросить сброс пароля или, по крайней мере, отключить учетную запись.
[*] - читайте: сценарий детишек
Еще одна вещь, которую OpenID дает вашим пользователям, - это возможность использовать более надежные учетные данные. В ответах я вижу некоторую озабоченность по поводу фишинга, но вы можете выбрать поставщика OpenID, который вообще не использует фишинговые / воспроизводимые учетные данные. Например, сертификаты SSL или информационные карты поддерживаются некоторыми поставщиками. В myOpenID есть функция, требующая от вас ответа на телефонный звонок, прежде чем вы сможете войти в систему. Я почти уверен, что есть и другие сайты, использующие аппаратные токены.
Да, большинство ваших пользователей, вероятно, просто нажмут кнопку Yahoo и не воспользуются ею. Но это дает им выбор, и вам не нужно беспокоиться о деталях реализации. Я утверждаю, что проще добавить поддержку OpenID на ваш сайт, чем поддерживать сертификаты SSL в кросс-браузере. И это, безусловно, проще, чем поддерживать все сертификаты SSL, информационные карты, проверку телефона, проверку токена, DDRpass, аутентификацию с произвольной точечной стереограммой или любую другую дурацкую вещь, о которой они думают дальше.
Использование openId дает преимущества с обеих сторон: 1. Разработчикам не нужно внедрять систему входа в систему (база данных, обработка клиентов, безопасность приложений и т. Д.) 2. Пользователям не нужно запоминать дополнительный набор учетных данных.
С другой стороны, вы можете напугать некоторых пользователей, которые на самом деле не разбираются в компьютерах и не захотят выдавать, скажем, учетные данные Google для входа на ваш сайт.
Лучшим решением была бы гибридная система, допускающая как OpenID, так и регистрацию на месте, но это действительно испортило бы первое упомянутое мной преимущество.
Я не пытаюсь никого изменить. Пожалуйста, примите во внимание эти факты. OpenID отличается от системы аутентификации "пользователь + пароль" только двумя вещами:
Я пытаюсь подчеркнуть, что больше ничего не изменилось:
Это как с любой другой технологией. Большая часть того, о чем люди говорят, является мифом, потому что они не уделили время его изучению или потому что использовали неправильную реализацию.
Open ID - одна из тех вещей, которые вы либо любите, либо ненавидите - я думаю, что это действительно сводится к тому, с энтузиазмом или скептически вы относитесь к централизации «аутентичности».
Другими словами, когда вы обнаруживаете, что учетная запись на сайте openid скомпрометирована, думаете ли вы: «О, черт, теперь я потенциально скомпрометирован на каждом сайте, для которого я использую этот openid» или «О, хорошо, теперь я нужно только изменить свой пароль для всех этих сайтов в одном месте ".
Я бы сказал, что да, OpenID лучше, чем обычное решение для входа в систему с точки зрения пользователя, по этим причинам:
Помните, что то, что у вас есть опция OpenID, не означает, что вы также не можете предоставить пользователям возможность резервного копирования с традиционной комбинацией имени пользователя и пароля на случай, если они не хотят использовать OpenID или не имеют провайдер. Ничего плохого в позволяя пользователям выбирать, что они хотят, если они знают, и в противном случае по умолчанию использует OpenID, имо :)
Интересно, почему люди думают, что openID более безопасен. Для технически подкованных пользователей это может применяться, но обычный пользователь не заметит разницы между реальным логином openID и поддельным, который будет очищать пароль.
Хуже того, они тоже будут знать, какую учетную запись openID следует связать с этим паролем, и, вероятно, могут нанести гораздо больший ущерб, чем простая комбинация имени пользователя / электронной почты / пароля.
openID - это техническое решение для технических пользователей, которое не очень полезно для обычных пользователей. Так что для технических сайтов это может процветать, но я не вижу этого для обычных сайтов в ближайшее время.
Для сайта социальной сети OpenID поможет привлечь технических специалистов. Однако, если это ваш единственный вариант, он отпугнет всех остальных. Пользователи привыкли регистрироваться с новыми логинами и паролями на каждом сайте. OpenID является новым и чужим, и может заставить пользователей задуматься, почему они передают свои учетные данные третьей стороне. Типичному пользователю OpenID мог бы также сказать GiveMeYourInformationSoICanSpamYou ... это еще одна причина для него сомневаться в целостности вашего сайта.
Короче говоря, определите свою базу пользователей и либо откажитесь от OpenID, либо используйте как OpenID, так и систему входа, управляемую приложением.
Проблема с OpenID в том, что он отлично подходит для таких вещей, как ServerFault, где уровень доверия к чьей-либо личности на самом деле не имеет значения - как только вы начинаете заботиться, вот где жизнь усложняется.
Это усложняется, потому что, когда я контролирую своего провайдера аутентификации, я неявно доверяю этому провайдеру, потому что я его запускаю и, по-видимому, реализовал его в соответствии со стандартом, который мне нужен. Когда я вывожу аутентификацию из-под моего контроля, теперь мне нужно также назначить уровень доверия провайдеру аутентификации.
У моего работодателя по закону я не могу доверять ЛЮБОМУ крупному провайдеру OpenID, потому что:
Это ни в коем случае не исчерпывающий список.
Чтобы OpenID работал с нетривиальными приложениями, мне нужен надежный провайдер - и я должен ограничить количество пользователей этим доверенным провайдером (или провайдерами). Такой вид сводит на нет все преимущество «единого имени пользователя / пароля». Даже в этом случае мне все равно может потребоваться проверка личности для пользователей с более высоким уровнем доверия. Мне кажется, много работы, особенно когда управление собственным провайдером аутентификации - это не ракетостроение.
ИМО, правительства могут заставить эту технологию работать. Если DMV штата / провинции или почтовое отделение предлагают услугу, позволяющую гражданам устанавливать учетные данные в Интернете, доступные через OpenID, вы сможете доверять учетным данным почтового отделения / DMV. (Потому что правительство говорит: «Ты должен нам доверять»). Я считаю, что такие страны, как Норвегия и Дания, уже выдают индивидуальные учетные данные PKI.
Думайте о клиентах. Ваш целевой клиент - компьютерщик? Если да, OpenID впечатлит вашего клиента и поможет вашему сайту. В противном случае дополнительная работа по созданию этого продукта, не ориентированного на компьютерных фанатов, истощит ресурсы, связанные с доставкой контента, о котором заботятся ваши клиенты. Сосредоточьтесь прежде всего на предоставлении ценности вашему клиенту.
Еще нет.
Требуется поддержка браузера. Браузеры завершат отличное взаимодействие с пользователем с OpenID, поскольку они могут централизованно управлять вашей идентификацией и упростить работу (похоже, что веб-сайт, который вы посещаете, использует OpenID, хотите ли вы использовать http://yahoo.com/user войти в систему?) и обезопасить.
Но прямо сейчас вам нужно приложить значительные усилия, чтобы сделать OpenID пригодным для использования. На мой взгляд, вам нужно либо предоставить OpenID в качестве опции, либо предоставить своим пользователям собственного провайдера OpenID (что позволяет им бесплатно использовать сторонние сервисы).
OpenID, хотя и хорош, концептуально сталкивается с IMO в тяжелой битве, потому что а) разработчикам сложно реализовать и б) пользователям сложно привыкнуть к концепции использования URL-адреса. Шаблон использования имени пользователя и пароля на этом этапе довольно прочно укоренился.
Тем не менее, взгляните на Clickpass (www.clickpass.com). Они активно пытаются упростить использование OpenID.
Удачи.
Я ненавижу openID, и это была основная причина НЕ регистрироваться на serverfault / stackoverflow. А как насчет конфиденциальности пользователей? Некоторые пользователи, такие как я, крайне параноики и не любят смешивать информацию facebook / yahoo / google между различными веб-сайтами.
OpenID более сложен и заставляет вас зависеть от того, что другие провайдеры не откажутся.
Одна из проблем, с которыми сталкивается StackOverflow, заключается в том, что если вы входите в систему с другим идентификатором OpenId, чем тот, который вы используете, вы теряете свои рейтинги и значки (возможно, они уже исправили это, но не слышали). Был один раз, когда я не мог войти в систему в течение часа, потому что мой провайдер не работал.
Работая в этой области, мы получаем множество различных учетных данных для входа. OpenID позволяет мне использовать уже установленную учетную запись для аутентификации без необходимости настраивать еще одну учетную запись и пароль. Поскольку многие сайты начинают поддерживать OpenID, появляется гораздо больше возможностей выбора аутентификатора OpenID, который вы используете для проверки своей личности.
Вы также можете настроить свой собственный аутентификатор OpenID на своем сайте, если не хотите использовать один из уже существующих. Таким образом, вы можете лучше контролировать, какая именно информация выдается при вашей аутентификации.
Я думаю, что возможность создать учетную запись или использовать OpenID для аутентификации - отличная комбинация, которая охватывает как параноиков безопасности, так и тех, кому нужна простота использования.
Я думаю, что OpenID великолепен, и мы рассматриваем его для нашего сайта. Однако нам понадобится oAuth, и мы также захотим получать электронную почту от пользователей. Мы широко используем это, и единственное, что мы делаем, - это рассылаем информационный бюллетень по электронной почте. Мы разрешаем отказаться от этого, но мы этого хотим, чтобы наша система работала.
Кажется, есть основная группа технарей, которые ненавидят отказываться от пользователя / pwd, и я могу это понять. Некоторые являются сторонниками конфиденциальности, и я полностью понимаю. Некоторые просто ленивы, не хотят настраивать пользователя / pwd, некоторые просто берут. Они хотят получать информацию из Интернета, но никогда не платят за нее каким-либо образом (реклама, стоимость и т. Д.). Я думаю, что это меньшинство людей, поскольку большинство людей понимают, что им нужно внести свой вклад или заплатить каким-либо образом. .
Вам необходимо изучить свой сайт, какие сведения / информация вам нужны, а затем принять решение о том, соответствует ли он вашим потребностям. Если это так, вы можете добавить его в дополнение к текущему методу входа в систему. Вам нужно связываться с людьми, сообщать им о вещах и т. Д.
Наличие централизованного способа аутентификации - это здорово, но, как уже упоминалось, есть проблемы, связанные с отсутствием изменения / сложности пароля. Однако это проблема пользователя больше, чем проблема сайта. На уровне пользователя происходит компромисс, который мы никогда не решим. Но это означает, что вы, как владелец сайта, не несете ответственности, если это произойдет.
Единственная проблема, которую я вижу с OpenID, заключается в следующем:
Представьте себе два аффилированных сайта. Оба они позволяют вход в систему OpenID. Конечно, тогда они смогут обмениваться статистикой активности между собой - скажем, я выполняю действие X и действие Y на первом сайте, а затем, когда я посещаю второй сайт, меня засыпают целевой рекламой в соответствии с моими действиями на первом сайте. Почему-то мне немного неприятно отсутствие изоляции между логинами OpenID.
Но дело в том, что максимальное удобство OpenID (один, надеюсь, безопасный набор учетных данных) не затмевается вышеупомянутым недостатком. Я использую OpenID везде, где могу, и если бы я разрабатывал веб-службу для публичного использования, я бы определенно сделал так, чтобы она поддерживала OpenID (возможно, с обычным вариантом регистрации).