OpenID как опция единого входа?

Ответ 1

Кроме того, SSO (как вы упомянули) обычно подразумевает, что мне нужно только один раз войти (предположительно, на мою рабочую станцию), а затем оттуда, мне не нужно входить в систему где угодно.

OpenID, конечно, не решает эту проблему. Например, если я использую OpenID для входа в StackOverflow, это не значит, что мне не нужно снова входить на другой сайт, используя тот же openID.

Ответ 2

Я должен сказать, что я абсолютно согласен с утверждениями о том, что это слишком сложно для "среднего" пользователя Интернета. Я думаю, что OpenID все еще можно считать "новым", хотя первоначальное предложение было еще в 2005 году. Более высокие сайты трафика воспринимают его как просто вариант для создания учетной записи, вместо того, чтобы требовать от пользователей наличия OpenID.

По-моему, если обычное создание учетной записи пользователя и пароля предлагается вместе с OpenID, то, как правило, пользователи интернет-пользователей, естественно, начнут пытаться и в конечном итоге использовать OpenID.

Проблемы с аутентификацией также применимы к OpenID как регистрация на любом веб-сайте. Вы доверяете веб-сайту своим паролем (при условии, что вы не используете программу хранения паролей), поэтому его нельзя использовать с OpenID.

Все, что в стороне, стандартизация создания учетной записи является абсолютно сливочным соусом для веб-разработчика. Я просто обожаю даже не беспокоиться о нормальном процессе создания, а просто просто заглянуть в библиотеку OpenID и связать его с базой данных.

Ответ 3

Мне потребовалось некоторое время, чтобы понять OpenID (так много провайдеров!), но мне очень нравится эта концепция. Связать его с Gravatar и переписать свой профиль гораздо более безболезненно - возможно, одно или два поля.

Единственные проблемы, которые вы должны доверять своему провайдеру OpenID - но это не то, что я бы назвал проблемой, больше похоже на здравый смысл.

Изменить: Люди, имеющие проблемы с поставщиками OpenID, должны рассмотреть возможность создания нового. Мой провайдер - myopenid.com, и у меня не было проблем. Вы можете настроить несколько персонажей (например, профили), поэтому у меня есть один для комментариев в блоге, один для таких технологических сайтов.

Что касается нового профиля SO, Джефф сказал что-то о возможности изменить ваш OpenID, не теряя статистику профиля в будущем.

Ответ 4

В OpenID есть одна крошечная проблема.

Для беспрепятственного входа в систему с OpenID требуется автоматическое (непроверенное) перенаправление между доменами.

Это делает OpenID-сервер сторонним. Это может привести к отказу файлов cookie для OpenID-сервера, если вы отключите сторонние файлы cookie, а ваш браузер строго следует правилу непроверяемых транзакций в 3.3.6 RFC2965.

Примером этого является Opera. Если вы отключите сторонние файлы cookie (установив глобальное значение "Принимать только файлы cookie с сайта, который я посещаю" ), вы не можете войти в систему с OpenID, потому что сервер script вы отправляете автоматически (без вашего взаимодействия, чтобы его одобрить ) перенаправляет вас на сервер OpenID, и сервер OpenID делает то же самое, чтобы вернуть вас.

Но вам повезло в Firefox, IE и Safari с их соответствующей блокировкой сторонних файлов cookie, потому что они нарушают RFC2965 в нескольких ситуациях.

При использовании OpenID в этом случае возникает проблема с более совместимыми клиентами.

Как обходной путь, в Opera, помимо принятия всех cookeis, вы можете перейти к инструментам → предпочтения → advanced → Сеть и отключите автоматическое перенаправление. Затем вы сможете проверить и щелкнуть каждую ссылку, на которую вы перенаправлены, и файлы cookie не будут отклонены, поскольку транзакции будут проверены.

Он также должен работать, если вы продолжаете автоматическое перенаправление, и на обоих серверах создается страница со ссылкой для того, чтобы вы нажали, чтобы вы могли проверить транзакцию. Но не может быть никаких автоматических переадресаций в любом месте.

Вход в систему с помощью только имени пользователя и пароля, в котором вы имеете дело с первыми файлами cookie, будет намного лучше в этом случае.

OpenID все еще классный, и я полагаю, что Opera просто нуждается в возможности разрешить непроверяемые транзакции между SO и вашим OpenID-сервером, чтобы вы могли использовать "Принимать только файлы cookie с сайта, который я посещаю" здесь.

Ответ 5

Лучший ответ на может кто-нибудь коротко объяснить Single Sign on? я хочу использовать openid как SSO, хорошо объясняет, как отличаются OpenID и SSO:

Единый вход - это вход в систему в одном месте и автоматически аутентифицируйте вас в других местах. OpenID - это делегирование аутентификации поставщику OpenID, чтобы вы могли эффективно войдите на несколько сайтов с одним набором учетных данных.

Тот же пост также дает отличный ответ на исходный вопрос:

Вы можете использовать OpenID в качестве схемы проверки подлинности для единого входа, но это неслучайно.

Ответ 6

Я довольно амбивалентен на OpenID. С одной стороны, он обращается к "проблеме обнаружения поставщика удостоверений" (как полагается сайт сторонней компании, где отправить пользователя для аутентификации). С другой стороны, URL-адреса чрезвычайно сложны для среднего пользователя.

Я вижу OpenID, поскольку в настоящее время он является полезной остановкой на пути к решению для веб-идентификации, но, конечно, не конечным пунктом назначения.

В частности, обращение к вашему интрасети, OpenID, вероятно, не является правильным ответом. Как я уже упоминал выше, OpenID покупает вам возможность найти поставщика удостоверений, за счет ввода этого URL-адреса в каждой полагающейся стороне. Если вы собираетесь аутентифицировать всех своих пользователей на каком-то внутреннем поставщике идентификационных данных и только принимать пользователей от этого поставщика удостоверений, OpenID действительно не принесет вам многого.

Я бы посмотрел на систему, такую ​​как CAS или OpenSSO, каждый из которых перенаправляет пользователей на страницу входа без необходимости вводить URL-адрес. я недавно опубликовал блог о компании, которая выпустила OpenSSO для 40 приложений интрасети для 3000 пользователей всего за 4 месяца, с приложениями на IIS 6.0, Apache, JBoss и Tomcat.

Ответ 7

Я думаю, что OpenID слишком запутан и неуклюж, чтобы заставить любого пользователя, и я даже не убежден, что он решает подлинную проблему. Наличие регистрации на каждом сайте, который я использую, никогда не поразило меня как серьезную проблему. В частности, поскольку это не особенно решает эту проблему; когда я связал свой OpenID с StackOverflow, мне все равно пришлось заполнять дополнительные данные. Это может также иметь регулярный процесс регистрации для всех различий, которые он делает.

Ответ 8

Ну.. Мне бы понравилась простая комбинация login-pwd (которую я пробил через Passwordmaker.org). Однако, будучи разработчиком, я могу понять, что они не хотели снова изобретать колесо для входа...

OpenID:

Я ввожу свой блог url = > Вход в Google = > Я нахожусь.

Это дополнительный уровень.. но это нормально.

Ответ 9

Собственно, в случае StackOverflow отдельная учетная запись спасла бы мне много неприятностей. Я решил использовать мой OpenID WordPress.com, так как там, где я размещаю свой блог, но оказалось, что WordPress.com имеет серьезные проблемы с их службой OpenID, и большую часть времени я не могу войти в StackOverflow вообще. Конечно, я могу использовать другой поставщик OpenID для входа в систему, но тогда у меня будет другая идентификация на сайте.

Я думаю, вы могли бы сказать, что WordPress.com виноват в этом, но проблема повторится. Используя OpenID, вы можете использовать другую службу сайта. Любые проблемы на стороннем сайте фактически также отключат ваш сайт.

В качестве альтернативного решения я попытался войти в систему с моим OpenID Open Yahoo, но потом я получил некоторую случайную строку в качестве имени пользователя, и, как уже указывал DrPizza, мне все равно пришлось бы редактировать свои личные данные.

OpenID - хорошая идея, но я все равно не буду опираться на текущее состояние вещей.

Ответ 10

По крайней мере, в сценарии интрасети, я думаю, что Active Directory (или аналогичный) по-прежнему остается одним из лучших вариантов.

Ответ 11

По крайней мере, в сценарии интрасети, я думаю, что Active Directory (или аналогичный) все еще один из лучших вариантов.

Да, в любом случае Active Directory находится за занавесками поставщика сервера OpenId.

Чтобы разработать решение SSO внутри Интранета, есть коммерческие опции, такие как Access Manager (бывший IChain) + Active Directory, но я не знаю, является ли это открытым решением, кроме "собственного OpenId Server" + "Что-то прохладное еще разработать" + LDAP.

Ответ 12

OpenID, конечно, не решает эту проблему. Например, если я использую OpenID для входа в StackOverflow, это не значит, что мне не нужно снова входить на другой веб-сайт, используя тот же openID. - tj9991

Это может означать это. Если ваш вход на сайт OpenID запоминается (например, через файлы cookie), вам просто нужно будет только один раз войти в один сеанс браузера (или один раз в неделю, один раз в месяц...) для всех сайтов OpenID, которые вы посещаете.

Поддержка браузера и API могут даже покончить с запросом пароля и перенаправлением страницы. Отличная идея!

Ответ 13

Это не такая проблема юзабилити при переполнении стека, так как все пользователи программисты в любом случае, но я не могу думать о многих других сайтах, которые могли бы сойти с рук.

Я думаю, что openID будет улучшаться со временем, хотя и когда все используемые на нем сайты начнут реализовывать все функции (например, автозаполнение информации обо мне), это будет более полезно.

Ответ 14

Реализации OpenID требуют больших усилий и считаются успешными, и даже тогда вы можете быть сбиты плохими поставщиками удостоверений личности (например, Yahoo). OpenID может работать очень хорошо, если вы выработали проблемы с пользовательским интерфейсом, но для большинства пользователей сложная реализация просто ужасна. На мой взгляд, самая большая проблема с OpenID заключается в том, что люди пытались решить проблему с осознанием пользователями. Им было бы лучше просто предоставить список поставщиков OpenID и щелкнуть пользователями тот, который они хотели использовать. Это иногда требует знания того, как поставщик реализовал OpenID, если он не поддерживает версию 2.0 спецификации, но дает гораздо лучший общий опыт для конечного пользователя.