Поставщики OpenID - что останавливает злонамеренных поставщиков?
Я использовал $ ('td.active'). Parent (). Children (). Css ('background', 'blue'); и тогда это работает, как я ожидал.
6 ответов
Вы перепутали две разные вещи - идентификацию и авторизацию. Просто потому, что вы знаете, кто кто-то, это не значит, что вы должны автоматически дать им разрешение на что-либо делать. Саймон Уиллисон хорошо описывает это в . OpenID - это не учетная запись! Более подробное обсуждение белого списка доступно в Социальном белом списке с OpenID .
Короткий ответ на Ваш вопрос, "Это не делает". OpenID сознательно обеспечивает только механизм для того, чтобы иметь сайт централизованной аутентификации; Вам решать, каких поставщиков OpenID Вы лично считаете приемлемыми. Например, Microsoft недавно решил разрешить OpenID на своем сайте Healthvault только от выбора немного поставщиков . Компания может решить только позволить логины OpenID от своей LDAP-поддержанной точки доступа, правительственное учреждение может только принять OpenIDs от поддержанных биометрикой сайтов, и блог мог бы только принять TypePad из-за их интенсивной проверки спама.
, кажется, существует много беспорядка по OpenID. Его исходная цель состояла в том, чтобы просто обеспечить стандартный механизм входа в систему так, чтобы, когда мне нужен безопасный механизм входа в систему, я мог выбрать от любых поставщиков OpenID для обработки этого для меня. Разрешение любого где угодно для установки их собственного доверяемого поставщика OpenID никогда не было целью. Выполнение второго эффективно является impossible— в конце концов, даже с шифрованием, нет никакой причины, Вы не можете настроить своего собственного поставщика, чтобы надежно лечь и сказать, что оно аутентифицирует, кого бы ни Вы хотите. Наличие единственного, стандартизированного механизма входа в систему самостоятельно уже является большим шагом вперед.
OpenId не намного больше, чем имя пользователя и пароль, который пользователь выбирает при регистрации для сайта. Вы не полагаетесь на платформу OpenId для избавлений от ботов; Ваша система регистрации должна все еще делать это.
Возможное решение - можно все еще попросить, чтобы новые идентификаторы прошли тест КАПЧИ. Точно так же, как боты могут подписаться с поддельными/несколькими адресами электронной почты на любой сайт, но привести шаг "проверки" к сбою там также.
Или мы оказывающийся перед необходимостью начинать поддерживать черные списки поставщика? Те не будут действительно работать очень хорошо, учитывая то, как тривиально легкий это должно настроить нового поставщика.
Насколько я могу судить, OpenID касается только идентификации, а не авторизации. Остановка ботов - это вопрос авторизации.
Заметьте, что в отличие от стандартного "на сайт" логины, OpenID дает Вам идентификационные данные, которые потенциально превышают отдельные сайты. Еще лучше эти идентификационные данные являются даже URI так его идеальное для использования с RDF, чтобы обмениваться или запросить произвольные метаданные об идентификационных данных.
можно сделать несколько вещей с OpenID, который Вы не можете сделать со стандартным именем пользователя от нового пользователя.
Во-первых можно сделать некоторые простые операции белого списка. Если *.bigcorp.example является OpenIDs от сотрудников Big Corp., и Вы знаете, что Big Corp. не является спаммерами, то можно добавить те OpenIDs в белый список. Это должно работать хорошо на сайты, которые полузакрываются, возможно, это - социальный сайт для нынешних и бывших сотрудников.
Лучше, хотя, можно сделать выводы из других мест, что определенный OpenID использовался. Предположим, что у Вас есть карта OpenIDs к значениям репутации с Stackoverflow.com. Когда кто-то обнаруживается на Вашем веб-форуме с OpenID, Вы видите, имеют ли они достойную репутацию в Stackoverflow и пропускают КАПЧУ или испытательный срок для тех пользователей.