Я новичок на этом сайте, но я прочитал правила, а также просмотрел раздел вопросов, но не нашел ответа на какой-либо связанный с ним вопрос.
В любом случае, вопрос: какие плюсы. & Против. использования OpenID на веб-сайте вместо обычной системы входа в систему? Мой клиент хочет, чтобы я использовал этот вид логинов для локальной системы продаж & Я понятия не имею, почему !? благодарит заранее.Использовать OpenID или не использовать?
OpenId реализуется Stackoverflow. Поскольку вы только что зарегистрировались, вы, возможно, испытали все преимущества самостоятельно.
В принципе, он может использоваться, чтобы пользователи могли входить на сайт без создания учетной записи или отправки вашей личной информации. Пока у них есть учетная запись с провайдером OpenId, которую поддерживает ваш сайт (например, Google), они могут просто использовать свое имя пользователя и пароль для входа в систему через ваш сайт. Это может увеличить удержание клиентов и уменьшить вероятность того, что пользователи уйдут из-за забывания пароля.
Вот обзор по 37signals.com, что объясняет преимущества OpenId для их применения: http://www.37signals.com/openid/
И, конечно, вы можете найти много больше информации по адресу: http://openid.net/
Я не могу придумать любые причины не, чтобы использовать его, но есть некоторые вещи, которые вы должны рассмотреть.
Я предлагаю предлагать OpenID как альтернативный механизм прежде всего из-за отсутствия осведомленности пользователей. Многие разработчики не знакомы с этим, поэтому пользователей, конечно же, не будет, и это смутит их, когда они увидели OpenID на странице регистрации/входа в систему, запрашивая их логин/пароль Google или Yahoo (что такое OpenID? делать покупки с тостером?). Следовательно, они будут отправлены в Google или на другой сайт, чтобы подтвердить, что они хотят разрешить вашему сайту доступ к своим данным для входа в систему, что может еще более запутать их (эти люди получают доступ к моему gmail?). С точки зрения безопасности, насколько я знаю, ваш сайт может хранить мои данные для входа в Google, и я могу отказаться от входа или покупки из-за проблем доверия.
Таким образом, установка системы входа/пароля спереди и openID на стороне может быть целесообразной в зависимости от характера сайта.
Хорошее примечание, спасибо;) –
Хотя для нас, технарей, преимущества OpenID в значительной степени очевидны, обычным пользователям иногда сложно понять, как использовать вход одного сайта для входа на другой сайт. Они просто привыкли создавать учетную запись для сайта, который они начинают использовать.
Основная проблема заключалась в том, что пользователи не знали полностью, что такое OpenID. С помощью юзабилити-исследований это было решено путем продвижения входа OpenID в качестве возможности предоставить учетные данные уже имеющейся учетной записи, например Yahoo, GMail или MS Passport, поскольку их операторы недавно стали поставщиками OpenID. Как Yahoo said, «Содействовать утилите, а не технологии».
И, конечно, важно подчеркнуть, что им не нужно иметь еще одну учетную запись и еще один пароль для запоминания (или поставить еще одно сообщение);) и что на сайте-потребителе нет способ хранения учетных данных поставщика. Этого должно быть достаточно, чтобы убедить их.
Но из-за различной природы сайтов, предоставляющих вход в систему openid, я бы не захотел войти в систему на свой банковский счет.
Вы должны знать, что openID может быть более уязвим для фишинга, потому что пользователи знают об этом меньше. Если вредоносный сайт пытается реализовать openID, но переадресовывает попытку входа на вредоносный сайт под его контролем (например, подражая логину Google), он может затем получить доступ к этой учетной записи фишинга на всех сайтах openID. Поэтому, если вы используете openID, вероятность ботов и злонамеренных пользователей может быть выше, а может и нет.
Как это будет работать на практике и станет ли это актуальной проблемой безопасности, - это чья-то догадка. Я считаю, что есть некоторые предлагаемые изменения в стандарте openID, чтобы попытаться смягчить эти атаки, хотя я не знаю деталей.
Причина NOT для использования OpenID - это безопасность.
Если пользователь использует сторонний провайдер OpenID (Google, Yahoo и т. Д.), То вредоносный сотрудник провайдера, имевший доступ , мог получить данные для входа и использовать учетную запись пользователя.
Я столкнулся с этим сценарием при разработке внутреннего приложения для управления жизненно важным сервисом для клиента. OpenID был очень привлекательным, поскольку пользователи уже были знакомы с внешними службами (похоже, у каждого есть учетная запись gmail или yahoo). Недостатком было то, что любой эксплойт мог привести к сотням тысяч долларов потерянного дохода.
Решение состояло в том, чтобы реализовать еще один уровень безопасности, который был прозрачным для пользователя и был невозможен провайдером OpenID: на экране входа в приложение можно было получить доступ только из сети компании.
Как пользователи google и yahoo могут иметь несколько учетных записей, которые могут захотеть использовать систему flood, используя эту простую систему входа, hm? но использование обычного процесса регистрации может помешать им сделать это. спасибо за ответ Джордж, это была хорошая статья. –
@Stephanie, я бы не стал беспокоиться об этом сценарии, потому что автоматическое создание аккаунта на вашем сайте было бы проще, чем Google, который использует расширенный CAPTCHA во время создания учетной записи. В долгосрочной перспективе OpenID будет прибыльной целью для спамеров. – aleemb
Итак, правила OpenID, да?: D спасибо за ответ aleemb. Я также использую CAPTCHA, и я также регистрирую каждое подозрительное движение пользователя. нет выхода! –