Каково преимущество использования ТОЛЬКО аутентификации OpenID на сайте?
encodeURIComponent отлично работает для меня. мы можем дать url, как это в ajax call.The код, показанный ниже:
$.ajax({
cache: false,
type: "POST",
url: "http://atandra.mivamerchantdev.com//mm5/json.mvc?Store_Code=ATA&Function=Module&Module_Code=thub_connector&Module_Function=THUB_Request",
data: "strChannelName=" + $('#txtupdstorename').val() + "&ServiceUrl=" + encodeURIComponent($('#txtupdserviceurl').val()),
dataType: "HTML",
success: function (data) {
},
error: function (xhr, ajaxOptions, thrownError) {
}
});
15 ответов
Список оборотных сторон пропускает самую очевидную: это - мечта phisher. OpenID невероятно небезопасен и крадет идентификатор человека, поскольку они входят в систему, тривиально легко.
Matt Sheppard попадает в точку относительно ответа though:the, преимущество только использования OpenID - то, что это включает меньше стычки для создателя сайта, поскольку нет никаких имен пользователей и паролей для обработки и никакой требуемый код создания учетной записи пользователя.
Преимущество создания обязательного OpenID просто, что код входа в систему для веб-сайта не должен быть записан (вне интеграции OpenID), и никакие меры предосторожности не должны быть приняты вокруг хранения паролей пользователя и т.д.
Не, наличие Вашего собственного кода входа в систему также означает не иметь необходимость иметь дело с большим количеством проблем поддержки как сброс потерянных паролей и т.д.
, Конечно, большинство Ваших оборотных сторон допустимо, таким образом, я предполагаю, что это становится компромиссом.
то, Что удивляет меня, - то, что нет большего количества сайтов, формирующих тесную связь с конкретным поставщиком OpenID только к фазе регистрации учетной записи - т.е. своего рода, 'Можно использовать любой OpenID, который Вы любите, но можно также создать тот прямо сейчас путем введения имени пользователя и пароля и т.д.' страница входа в систему, которая автоматически создает новую учетную запись с выбранным поставщиком для Вас.
Это - хороший способ произвести часть на стороне Вашей инфраструктуры. Вы не должны волноваться о потерянных паролях и т.д., кто-то еще делает это для Вас.
я не уверен, что использовал бы его исключительно, все же. Я не привык OpenID достаточно для совершенно доверительного это, и знак обрабатывает потребности, которые будут оптимизированы до>, у 90% пользователей есть OpenID.
Добавляет критическую точку к отказу на сайт
третье по высоте , идея о uservoice для Stackoverflow состоит в том, чтобы позволить изменять поставщика OpenID. И в комментариях существует предложение, чтобы позволить связывать больше, чем на OpenID. На сайтах, где несколько OpenIDs могут быть связаны с учетной записью, если Ваш обычный поставщик OpenID снижается, можно все еще войти в систему с другим поставщиком (предполагающий, что Вы уже связали ее с сайтом).
кроме того, это - только критическая точка отказа для пользователей поставщика OpenID, который не работает. Все другие пользователи на других поставщиках OpenID могут продолжить регистрировать его. Со временем Вы ожидали бы, что пользователи мигрируют на самых надежных поставщиков.
Берет пользователя к другому контенту сайтов и каждый раз, когда они входят в систему на Ваш сайт
, Если Вы настроили своего поставщика OpenID, чтобы всегда доверять сайту (или потребитель OpenID в номенклатуре), и Вы уже зарегистрированы в своего поставщика OpenID тогда, они перенаправят Вас назад на сайт без Вас даже обращение на Ваш сайт поставщиков OpenID.
Добавляет неиспытательное количество времени к регистрации
В настоящее время, который может быть верным, но поскольку andyuk сказал, "Это становится меньшим количеством проблемы больше сайтов та поддержка OpenID". Я ожидал бы, что через несколько лет большинство пользователей будет уже иметь OpenID и знать, каково это.
Одно из больших преимуществ движения OpenID-только с технической точки зрения - то, что абстракция часть аутентификации учетных данных позволяет пользователям выбрать методы аутентификации, которые намного более сложны, чем, что Вы потрудились бы создавать для своего сайта. Да, некоторые поставщики OpenID легко phished. С другой стороны, другие пользователи OpenID входят в систему с Информационными картами, аппаратными ключами, или звонят проверке, и это учетные данные, которые не могут быть полученными и воспроизведенными phisher.
, Как Gabe Wachob выразился :
Люди, которые хотят ввести новшества в методах аутентификации [...], не должны быть теми же людьми, которые вводят новшества в предложении услуг в сети (любое из миллиона выполнений человек Mediawiki, Drupal, и т.д.). То "отделение" инноваций аутентификации и сервисных инноваций - то, что ценно в OpenID.
Так при помощи OpenID, можно предложить пользователям более сильные методы аутентификации. Абстракция позволяет Вам реализовать один интерфейс, и затем можно выбрать любого поставщика для работы с, используют ли они пароли с восемью символами в открытом тексте или ответе проблемы нейронные имплантаты.
Это поощряет пользователей подписываться к OpenID, узнавать больше об этом и надо надеяться проповедовать христианство ему самих.
Переполнение стека доказывает просто, что поддерживающий OpenID может работать.
, "Добавляет критическая точка к отказу на сайт"
В случае поставщика OpenID, не удающегося работать, сайт должен иметь механизм, чтобы позволить пользователям входить в систему и добавлять/изменять поставщиков OpenID. Возможно, сайт мог послать временную ссылку по электронной почте для обхода безопасности, таким образом, пользователи могут получить доступ к своей учетной записи.
"Берет пользователя к другому контенту сайтов и каждый раз, когда они входят в систему на Ваш сайт"
, Мой поставщик OpenID позволяет мне доверие данный веб-сайт, таким образом, я не должен даже просматривать их веб-сайт.
, "Добавляет неиспытательное количество времени к регистрации"
, Это становится меньшим количеством проблемы больше сайтов та поддержка OpenID.
Как веб-разработчик, я - большой поклонник идеи OpenID. Запись Подлинного кода является болью в заднице. Как интернет-пользователь, я - большой поклонник OpenID - для некритического использования как Так, форумы, и т.д. - потому что, как только у Вас есть идентификатор, это - очень простой способ зарегистрироваться на сайте.
я думаю, за пределами нескольких исключений - как сообщество для разработчиков - в это время, Вы не можете вынудить OpenID только. "Средний" интернет-пользователь (независимо от того, что это означает) не получает его. Однако продвижение его в сайте как это повышает осведомленность среди разработчиков, и идея будет в конечном счете сочиться вниз. Поскольку OpenID появляется на все большем количестве сайтов, люди заглянут к нему, поймут, что имеют один, и затем начинают использовать его. Для OpenID - который является прекрасной идеей - для завоевывания популярность, должна быть критическая масса пользователей и сайтов, поддерживающих ее.
В конечном счете, это просто будет "способ, которым это", и мы зададимся вопросом, почему мы когда-либо создавали код аутентификации для каждого веб-сайта, который мы сделали, или почему мы создадим уникальные идентификационные данные везде, мы пошли на сеть
Как обсуждено в одном из подкастов, это добавляет барьер для доступа к страннику, происходящему путем удивления, могло ли это быть то, где они должны отправить свой Yahoo!, Отвечает на вопрос.
Это является несколько элитарным, но, учитывая фокус этого веб-сайта в особенности довольно приемлемо отклонить любого, кто не может выяснить Открыть процесс ID и любого, у кого действительно есть реальный вопрос, в котором они нуждаются, ответил, может быть побеспокоен для работы через любую небольшую трудность.
Добавляет критическую точку к отказу на сайт
, Что критическая точка отказа могла быть электронным письмом с подтверждением, которое Вы отсылаете, но почтовый ящик пользователя a) недоступный из-за опечатки, b) полный или c) поставщик снижается.
Берет пользователя к другому контенту сайтов и каждый раз, когда они входят в систему на Ваш сайт
, я вижу это, но по моему скромному мнению - это не настолько плохо. Я имею в виду, Y! кажется, один из самых нарушенных логинов, и он также никогда не работает на меня.;) В стороне большинство поставщиков OpenID (еще) не выглядит так плохо.
кроме того, помните о своей аудитории. Если родители являются Вашими пользователями, OpenID, вероятно, сбивает с толку как ад. Но так находится, вероятно, много в Интернете. В случае SO люди являются несколько опытными пользователями и знают то, что они хотят.
Добавляет неиспытательное количество времени к регистрации
, Это - надуманный вопрос. Посмотрите на список поставщиков: http://openid.net/get/
у Такого количества людей есть, по крайней мере, учетная запись Yahoo!, поэтому если она на самом деле работала. Это не было бы настолько плохо. Я соглашаюсь хотя, что, если у пользователя нет OpenID, и не знает то, для чего это. Не настолько легко обучить их.
И думают об импликации - "регистрироваться для сайта A, необходимо зарегистрироваться на сайте B". И все мы знаем, что регистрация по сути является болью в заднице. Но в конечном счете, это также точно, к чему OpenID пытается обратиться.
В господствующей тенденции, я в настоящее время не вижу значения для того, чтобы сделать OpenID обязательным. Мне нравится он как дополнение все же. Как люди предоставляют ссылки для "входа в систему с Facebook", и т.д. Тогда люди, которые не получают его (или не заботятся) не должны беспокоиться. Но другие могут все еще использовать его.
OpenID может быть лучше не бывает, но я был приведен, никакая причина для доверия "им" с моими идентификационными данными - кроме Jeff Atwood/Joel Spolsky не заставила меня сделать это, чтобы здесь жаловаться на это;-)
Одна вещь упомянуть также. У Вас уже есть база пользователей с OpenID, они просто должны войти в систему.
Я выступаю за OpenID, главным образом с точки зрения простоты использования. Я остаюсь быть убежденным о, это - безопасность, но это имеет большой потенциал. Существует много вещей, которые могли быть сказаны относительно этого, но я просто хотел ответить на следующие две точки:
Добавляет нетривиальное количество времени к регистрации
Только в первый раз, когда это - установка. Кроме того, с компаниями как Yahoo, оказывающий поддержку теперь, многие люди не должны будут даже потрудиться создавать OpenID, если они не хотят. При использовании Google или кого-то подобного как поставщик OpenID Вы видели бы их как по сути небезопасный? И как часто Вы ожидали бы, что у них будет время простоя?
Это - Мечта Phisher
, я действительно признаю, что это могло бы быть частично верно. Но является фишинг не большим количеством социальной проблемы, чем технологическая? OpenID мог облегчить, но это не устраняет то, что настоящей проблемой является пользователь. Намного более важно сделать пользователей, знающих, как phishers управляют, чем попытка к безопасности ими через технологию.
Основное преимущество наличия OpenID будет замечено в долгосрочной перспективе. Вместо того, чтобы иметь необходимость относиться к различным сайтам за идентификационные данные, Вы делаете это однажды и затем используете их на всех сайтах, которые требуют уникальных идентификационных данных. Конечно, для безопасных сайтов как банковское дело и торговля им будет нуждаться в другом виде размышления в целом. Но для сайтов социальных сетей и т.п. можно использовать его легко.
Родителям будет легко также, потому что теперь они должны помнить только одно имя пользователя/пароль. Много времен, нам становится трудным помнить то, что входит в систему, мы имеем, в котором сайте, и заканчивают тем, что использовали корректное имя пользователя/пароль Сайта на Сайте B. OpenID решит это. Плюс он - хорошая модель дохода для поставщика OpenID и пользователя. Я могу войти в такие все подробности поставщика, которые я готов дать и каждая такая подробная информация, которую я предоставляю, я могу заработать деньги.
, Возможно, поставщик может подключить меня коаксиальным кабелем, чтобы сказать этому больше обо мне с помощью то, что как стимул, который это может затем продать сайтам, в которых я регистрируюсь. Так Расположите платежи OpenID для моей информации. OpenID затем передает сокращение этого мне. Сайт A не должен управлять пользователями, OpenID получает деньги, пользователь получает деньги, все счастливы :)
Этот способ, которым Вы не должны будете делать OpenID обязательным. Сами люди захотят это. Поставщики OpenID будут затем конкурировать среди себя для предоставления лучших услуг, и где существует конкуренция будет лучшее значение, предоставленное всем затронутым. Я думаю, что это - невероятная идея.
Редактирование: Относительно времен простоя в одном конкретном поставщике; если поставщик OpenID A не уверен в обеспечении 100%-го времени работы, оно может взять справку другого поставщика B, и пользователь на Поставщике A может выбрать от поставщика опций A, дает. Сайт, который переходит к поставщику для аутентификации пользователя, будет знать, который другие поставщики перейти в то, в случае, если поставщик A не работает. Это будет сохранено в его базе данных по первому входу в систему автоматически. Кто-либо хочет провести коллективное обсуждение деталей реализации? :)
По крайней мере, OpenID отправляет Вас Вашему поставщику OpenID для входа в систему.
я читал блог на blogspot и существует ссылка для следования, этот блог (по-видимому, говорят мне, когда существуют newposts) сделать это, это открывается поле, просящее мое имя пользователя Gmail и пароль.
Даже предположение, что это является подлинным и не сайт фишинга - они теперь (потенциально), имеет вход в систему моего Gmail, моих документов Google, моих приложений Google - все!
Из моего опыта работы с OpenID я вижу ряд существенных плюсов:
Если вы решите войти в систему с помощью доверенного провайдера OpenID, например, Verisign PIP+VIP, вы сможете воспользоваться преимуществами внеполосных механизмов аутентификации SecureID. Это следует рассматривать как главное преимущество, которое перевешивает все остальные. Вы больше не доверяете дрянной аутентификации на основе формы на сайте, к которому обращаетесь, вы доверяете Verisign VIP или другому выбранному вами провайдеру OpenID.
Интернет-кроличья нора? Звучит как плохая реализация, и я, например, не знаю, о чем вы говорите.
Вы не можете легко украсть детали аутентификации, это можно сделать ближе к невозможному, чем то, что мы уже имеем! Возможно, вам удастся обманом заставить меня думать, что я обращаюсь к своему провайдеру, но у Verisign, например, есть возможность не разрешать или принимать перенаправления. Я также считаю эти проблемы с фишингом чем-то тривиальным, особенно если сопоставить их с преимуществами внеполосных механизмов аутентификации, которые вы можете получить с помощью провайдера аутентификации OpenID. Скажем, если вы подделали деталь ключа RSA один раз, она не будет действительна в следующий раз или может быть просто совершенно бесполезна, если вы, скажем, используете сертификат браузера.
В заключение, OpenID - это просто развитие существующей системы, адрес электронной почты для проверки подлинности. Если ваша учетная запись электронной почты является вашей текущей единой точкой отказа, то да, ваш OpenID может стать вашей новой единой точкой отказа в случае, если OpenID, который вы контролируете, больше не находится под вашим контролем. Итак, если вы доверяете только своему почтовому серверу, то просто разместите свой собственный URL OpenID. Если вы доверяете Gmail, используйте URL gmail для своего OpenID, потому что, таким же образом, вы уже доверяете Gmail в качестве SSO, поскольку ваш аккаунт gmail может получить пароли ваших аккаунтов.
В этом нет ничего сложного, но я вижу, что некоторым людям трудно понять основные понятия механизмов аутентификации. Если я могу войти с помощью своей карты SecureID (через провайдера OpenID) на сайт, на котором у меня есть учетная запись, я это сделаю. Так что если это единственный вариант, я его приму!