我一直在想。既然任何人都可以启动 OpenID 提供者,而且由于没有批准 OpenID 提供者的中央机构,为什么伪造的 OpenID 提供者不会成为问题?
例如,垃圾邮件发送者可以启动带有后门的 OpenID 提供程序,让自己像其他任何被诱骗在其网站上注册的用户一样进行身份验证。这可能吗?提供商的声誉是唯一阻止这种情况发生的因素吗?将来我们会看到 OpenID 提供商黑名单和 OpenID 提供商审查站点吗?
可能我完全不了解 OpenID。请赐教:)
我们正在开发一个 Web 系统并考虑使用 Open Id 功能。您认为它比通常的用户登录方式更好吗?如果我们使用 Open Id 功能,这意味着用户将被重定向到他们选择的 Open Id 提供商的站点,这将执行更多操作。然后他们必须在那里登录并被重定向回我们的网站。用户会对此感到满意吗?
注意:它更像是一个社交网站,但并不笨重。
对于那些允许用户指定 OpenID 提供程序 (OP) 的依赖方 (RP),在我看来,任何知道或猜测您的 OpenID 的人都可以
RP“可以”采取措施防止这种情况发生,只允许 OpenID 由原始 OP 验证,但是......
我想保护 VirtualHost 中的路径,但允许用户使用多种身份验证选项(例如mod-auth-cas,mod-auth-openid和mod-auth-digest。)如何设置虚拟主机定义以允许auth-type同一位置有多个s?
当你的密码爆炸,让你的服务器冒出魔法烟雾,并设置lp0时,你难道不只是讨厌它吗?
严肃地说,一个人需要用户名和密码的地方数量正在急剧增加。看起来OpenID在不久的将来不会解决这个问题,而且单点登录在内部似乎更像是一个目标而不是现实,即使不考虑外面的大网。
我刚刚参加了一次会议,我被告知我们已经为访问几个外部站点付费,并且希望降低门槛并增加员工(和学生)使用这些资源的可能性。那些发言者认为,我们前 5% 到 10% 的用户可能会使用这些网站,但如果我们能够提供一种方法让人们登录这些网站(并为他们提供启动页面),那么使用率可能会增加显着(而且我们可以节省技术支持资金,但不必在人们忘记密码时提供帮助。)
你在你的组织中如何解决这个问题?有什么合理的方法吗?