Я работаю над новым веб-сайтом и хотел получить совет/отзыв о OAuth vs OpenID и стандартном имени пользователя или пароле, принадлежащем сайту.OAuth? , OpenID? Ни? Какой из них должен поддерживать мой сайт?
ответ
Мое впечатление от OAuth заключается в том, что это больше для обеспечения безопасного, аутентифицированного доступа к API, а не для общего доступа пользователей.
Лично я хотел бы, чтобы другие сайты поддерживали OpenID.
Вы можете прочитать this article от Malcom Tredinnick, который объясняет, что такое openid и oauth. Они служат различным целям.
Таким образом, openid будет использоваться для уникальной идентификации пользователей - это решение для идентификации. oAuth предоставит средства для взаимодействия с данными, доступными для пользователей вашего сайта, позволяя пользователю предоставлять временный доступ вашего сайта к внешним службам, например их учетную запись flickr, - это инструмент авторизации.
Предлагая только стандартную учетную запись на сайте, это всегда вариант, но IMHO, поддержка openid лучше для ваших пользователей и для Интернета. Многие сайты, реализующие openid, позволяют пользователям использовать openid, если они есть, но также позволяют пользователям входить в систему и создавать учетные записи без openid. Таким образом, это не обязательно одно или другое предложение. Вы можете сделать то и другое!
Имейте в виду, что даже если вашему сайту не требуется доступ к личным данным ваших пользователей на других сайтах, OAuth может по-прежнему применяться, если у вас есть данные, которые пользователи могут получить через API или из другого веб-сайта сайт. С OAuth любой конец или оба могут применяться к вашему сайту.
Вы можете комбинировать их все и получить максимум от этого, но это зависит от ваших вариантов дизайна.
Например, если вы используете Java, вы можете настроить Acegi (Spring Security), чтобы разрешить openID вместе с обычным механизмом аутентификации.
OpenId имеет расширения OAuth
OAuth имеет OpenId расширения
Это до вас ...
JanRain позволяет принимать только о everything. Учитывая, что крупные игроки всегда хотят быть поставщиками, а не потребителями, это может быть единственным реалистичным «универсальным» вариантом.
Here - блестяще четкое объяснение. Выполняется непосредственно из документации OAuth.
В ноябре 2011 года в предварительном просмотре разработчика появился новый стандарт: OpenID Connect. Он построен на OAuth 2.0 и, насколько я понимаю, стандартизирует то, как Facebook делает вещи, которые также построены на OAuth 2.0. Это выглядит многообещающим, поскольку существует большой опыт работы с протоколом проверки подлинности Facebook, и это может быть решение, которое ищет множество веб-разработчиков. Я еще не погрузился в это, хотя я мог бы не понимать это, но так понимаю, прочитав об этом this blog post.
Я поддерживаю интеграцию авторизации пользователя с использованием OpenID, Facebook и любых других аутентификаторов. Дайте пользователю выбор.
ТАКЖЕ дают им возможность не использовать их.В частности, на веб-сайтах, ориентированных на взрослых, ваши пользователи могут не пойти с тем, что не так анонимно, как простой знак на вашем сайте. Просто используйте лучшие практики, когда дело доходит до хранения паролей.
ссылка на ссылку не работает, есть ли альтернативы? –
Вот версия с машины Wayback: http://web.archive.org/web/20080318052514/http://www.pointy-stick.com/blog/2008/03/13/explanation-difference-between-openid и-OAuth / – Martijn