OpenID как вариант единого входа?

Кроме того, SSO (как вы уже упомянули) обычно подразумевает, что мне нужно войти только один раз (предположительно на свою рабочую станцию), а затем с этого момента мне не нужно никуда входить.

OpenID конечно же не решает эту проблему. Например, если я использую OpenID для входа в StackOverflow, это не означает, что мне не нужно снова входить на другой сайт, используя тот же openID.

Должен сказать, что я абсолютно согласен с утверждениями о том, что это слишком сложно для пользователя Интернета "average". Я думаю, что OpenID все еще можно считать "new", хотя первоначальное предложение было сделано еще в 2005 году. Более высокие сайты с высоким трафиком воспринимают его как просто вариант для создания учетной записи, а не требуют от пользователей наличия OpenID.

На мой взгляд, пока обычное создание учетной записи пользователя/пароля предлагается наряду с OpenID, обычные пользователи интернета, естественно, начнут пытаться и в конечном итоге придерживаться использования OpenID.

Проблемы аутентификации относятся к OpenID так же, как и регистрация на любом веб-сайте. Вы доверяете веб-сайту с помощью своего пароля (предполагая, что вы не используете программу хранения паролей), поэтому это не должно использоваться против OpenID.

Кроме всего прочего, стандартизация создания учетных записей-это абсолютно сливочная подливка для веб-разработчика. Я просто хотел бы даже не беспокоиться о нормальном процессе создания, а просто заскочить в библиотеку OpenID и сослаться на нее в базе данных.

Мне потребовалось некоторое время, чтобы понять OpenID (так много провайдеров!) но мне очень нравится эта концепция. Свяжите его с Граватаром и переписывайте свой профиль гораздо безболезненнее - возможно, одно или два поля.

Единственная проблема заключается в том, что вы должны доверять своему поставщику OpenID - но это не совсем то, что я бы назвал проблемой, скорее здравый смысл.

Edit: люди, имеющие проблемы с поставщиками OpenID, должны рассмотреть возможность создания нового поставщика. Мой провайдер-myopenid.com, и у меня не было никаких проблем. Вы можете настроить несколько персонажей (например, профили), поэтому у меня есть один для комментариев в блоге, один для технологических сайтов, подобных этому.

Что касается наличия нового профиля SO, Джефф сказал что-то о том, что вы можете изменить свой OpenID, не теряя статистику своего профиля в будущем.

Есть одна маленькая проблема с OpenID.

Плавный вход в систему с помощью OpenID требует автоматического (непроверенного) перенаправления между доменами.

Это делает сервер OpenID третьей стороной. Это может привести к тому, что файлы cookie для сервера OpenID будут отклонены, если вы отключите сторонние файлы cookie и ваш браузер строго следует правилу непроверяемых транзакций в 3.3.6 RFC2965.

Примером этого является Opera. Если вы отключите сторонние файлы cookie (установив глобальное значение "принимать только файлы cookie с сайта, который я посещаю"), вы не сможете войти в систему с помощью OpenID, потому что серверный скрипт, который вы отправляете автоматически (без вашего взаимодействия, чтобы одобрить его) перенаправляет вас на сервер OpenID, а сервер OpenID делает то же самое, чтобы вернуть вас обратно.

Но вам повезло в Firefox, IE и Safari с их соответствующей блокировкой сторонних файлов cookie, потому что они нарушают RFC2965 в нескольких ситуациях.

Необходимость использовать OpenID в этом случае оказывает медвежью услугу более сговорчивым клиентам.

В качестве обходного решения в Opera, помимо принятия всех cookeis, вы можете получить инструменты -> preferences -> advanced -> Network и отключить автоматическое перенаправление. Затем вы сможете проверить и нажать на каждую ссылку, на которую вы перенаправлены, и файлы cookie не будут отклонены, потому что транзакции проверены.

Он также должен работать, если вы сохраняете автоматическое перенаправление, и оба сервера генерируют страницу со ссылкой для вас, чтобы вы могли проверить транзакцию. Но нигде не может быть никаких автоматических перенаправлений.

Вход в систему с помощью только имени пользователя и пароля, где вы имеете дело только с куки-файлами первой стороны, был бы намного лучше в этом случае.

OpenID все еще крут, хотя и я думаю, что Opera просто нужно разрешить непроверяемые транзакции между SO и вашим сервером OpenID, чтобы вы могли использовать "Accept only cookies from the site I visit" здесь.

Лучший ответ на вопрос Может ли кто-то кратко объяснить единый вход? я хочу использовать openid, поскольку SSO хорошо объясняет, как OpenID и SSO отличаются:

Single-sign-on - это о том, чтобы войти в одно место и иметь это вы автоматически проходите проверку подлинности в других местах. OpenID о делегирование проверки подлинности поставщику OpenID, чтобы вы могли эффективно войдите на несколько сайтов с одним набором учетных данных.

Этот же пост также дает отличный ответ на первоначальный вопрос:

Вы можете использовать OpenID в качестве схемы аутентификации для SSO, но это несущественно.

Я довольно неоднозначно отношусь к OpenID. С одной стороны, он решает "проблему обнаружения поставщика удостоверений" (как сайт проверяющей стороны определяет, куда отправить пользователя для проверки подлинности). С другой стороны, URLs чрезвычайно неуклюжи для среднего пользователя.

Я вижу OpenID в его нынешнем виде как полезную остановку на пути к решению для веб-идентификации, но, конечно, не конечную цель.

В частности, обращаясь к вашему вопросу интрасети, OpenID, вероятно, не является правильным ответом. Как я уже упоминал выше, OpenID дает вам возможность найти поставщика удостоверений личности за счет ввода этого URL в каждой проверяющей стороне. Если вы собираетесь аутентифицировать всех своих пользователей в каком-то внутреннем поставщике удостоверений и принимать только пользователей от этого поставщика удостоверений, OpenID действительно не принесет вам много пользы.

Я бы посмотрел на такую систему, как CAS или OpenSSO, любая из которых перенаправит пользователей на страницу входа без необходимости вводить URL. Недавно я написал в блоге о компании, которая выпустила от 39 до 40 интрасетевых приложений для 3000 пользователей всего за 4 месяца, с приложениями на IIS 6.0, Apache, JBoss и Tomcat.

Я думаю, что OpenID слишком запутан и неуклюж, чтобы навязывать его любому пользователю, и я даже не уверен, что он решает подлинную проблему. Необходимость регистрироваться на каждом сайте, которым я пользуюсь, никогда не казалась мне серьезной проблемой. Тем более, что это не особенно решает эту проблему; когда я связал свои OpenID с StackOverflow, мне все равно пришлось заполнить дополнительные детали . С таким же успехом он мог бы иметь регулярный процесс регистрации, несмотря на все его отличия.

Что ж.. Мне бы хотелось иметь простую комбинацию login-pwd (которую я бы пронес через Passwordmaker.org). Однако, будучи разработчиком, я могу понять, что они не хотели снова изобретать колесо входа...

OpenID:

Я вхожу в свой блог url => Google sign in => я вхожу.

Это дополнительный уровень.. но это OK.

Реализация OpenID требует много усилий и мыслей, чтобы быть успешной, и даже тогда вы можете быть расстроены плохими поставщиками удостоверений (например, Yahoo). OpenID может работать очень хорошо, если вы разобрались с проблемами пользовательского опыта,но плохая реализация просто ужасно трудна для большинства пользователей. На мой взгляд, самая большая проблема с OpenID заключается в том, что люди пытались решить проблему с осведомленностью пользователей. Им было бы лучше просто дать список поставщиков OpenID и заставить пользователей нажать на тот, который они хотели использовать. Это иногда требует знания того, как поставщик реализовал OpenID, если они не поддерживают версию 2.0 спецификации, но дает гораздо лучший общий опыт для конечного пользователя.

На самом деле, в случае с StackOverflow отдельный счет избавил бы меня от многих неприятностей. Я решил использовать свой WordPress.com OpenID, так как именно там я размещаю свой блог, но оказалось, что у WordPress.com есть серьезные проблемы с их сервисом OpenID, и большую часть времени я вообще не могу войти в StackOverflow. Конечно, я могу использовать другой провайдер OpenID для входа в систему, но тогда у меня будет другая идентичность на сайте.

Я думаю, вы могли бы сказать, что WordPress.com виноват в этом, но проблема повторяется та же самая. Используя OpenID, вы зависите от функционирования службы другого сайта. Любые проблемы на сайте третьей стороны, по сути, также отключат ваш сайт.

В качестве альтернативного решения я попытался войти в систему с помощью своего Yahoo OpenID, но затем я получил некоторую случайную строку в качестве имени пользователя, и, как уже было указано DrPizza, мне все равно пришлось бы редактировать свои личные данные.

OpenID-хорошая идея, но это все еще не то, на что я мог бы положиться при нынешнем положении вещей.

По крайней мере, в сценарии интрасети я думаю, что Active Directory (или аналогичный) по-прежнему является одним из лучших вариантов.

По крайней мере, в сценарии интрасети я подумайте, что Active Directory (или аналогичный) является все же это один из лучших вариантов.

Да, в любом случае, Active Directory находится за шторами поставщика сервера OpenId.

Для разработки решения SSO в интрасети есть коммерческие варианты, такие как Access Manager (бывший IChain)+Active Directory, но я не знаю, есть ли открытое решение, кроме "собственного сервера OpenId"+"что-то классное еще предстоит разработать"+LDAP.

OpenID конечно же не решает эту проблему. Например, если я использую OpenID для входа в StackOverflow, это не означает, что мне не нужно снова входить на другой сайт, используя тот же openID. -- tj9991

Но это может означать и другое. Если ваш вход на сайт OpenID является rememberd (например, через cookies), вам фактически нужно будет войти только один раз за сеанс браузера (или один раз в неделю, один раз в месяц...) для всех OpenID сайтов, которые вы посещаете.

Поддержка браузера и API может даже покончить с запросом пароля и перенаправлением страницы. Отличная идея!

Это не такая уж проблема юзабилити при переполнении стека, так как все пользователи в любом случае программисты, но я не могу думать о многих других сайтах, которые могли бы выйти сухими из воды.

Я думаю, что openID улучшится со временем, хотя и после того, как все сайты, использующие его, начнут реализовывать все функции (например, автоматическое заполнение информации обо мне), это будет более полезно.