我正在考虑将OpenID添加到面向客户的管理和控制面板区域......
1 - 将OpenID与现有帐户相关联
对于已经拥有我们帐户的客户,我认为他们需要使用我们发布的现有帐号登录,然后我有一个机制将他们的OpenID与他们帐户管理区域中的帐户相关联(称之为' OpenID Manager'为了争论而来).
在'OpenID Manager'中,假设用户已经有OpenID,我是否会根据他们的OpenID对用户进行身份验证,然后将我们生成的帐号与未来的OpenID登录相关联(假设他们的身份验证正常)?
2 - 敏感数据
虽然我们不会在我们的数据库中存储完整的信用卡数据,但还有其他敏感数据,发票,域名注册详情等.阅读本文后http://idcorner.org/2007/08/22/the-problems- with-openid /我对以这种方式使用OpenID的想法有点谨慎,与你们大家的普遍共识是什么?
在我看来,很多反对OpenID的论据要么是出于无知,要么是有斧头的人.
例如,您链接到的文档抱怨用URI标识自己是"非人性化而且有点可怕".这是一个合法的投诉,还是一些绝望的人要写的东西?
提出的两个主要问题是网络钓鱼和帐户泄密,这些争论多次被重新考虑,如果他们再次提出这些论点并且没有新的要点,那么很难认真对待.
网络钓鱼防护取决于提供商.一些提供商提供比典型网站更好的安全性.有些提供商只提供典型的用户名和密码.无论哪种方式,如果帐户被泄露,这是用户和他们的提供商之间的事情,那不是你的担忧.您不必担心最终用户的计算机上安装了键盘记录器,对吗?这是因为他们的本地安全性不是您的责任,即使它可能用于访问其帐户.与OpenID一样 - 它的安全性不是您的责任.
如果您破坏了OpenID,它可以让您访问多个网站.当然,但电子邮件也是如此.只是说你已经忘记了密码,而且你收到了一个新的密码.您现在可以访问他们使用该电子邮件地址注册的每个帐户.
OpenID并不比现状差,并且在许多情况下它显着更好,特别是对于知情用户.如果您仍然对它保持警惕,那么只需将其设为可选项,因此只有知情用户才能使用它.