Je débrouge actuellement si je devrais utiliser OpenID Se connecter pour l'un de mes sites Web. OpenID peut être plus difficile pour moi de mettre en œuvre car je dispose déjà de l'enregistrement et du code de connexion écrit, mais c'est juste une contrepartie de temps. Quels avantages et quels inconvénients sont là pour utiliser OpenID contrairement à un système de compte d'utilisateur de site Web traditionnel.
3 Réponses :
Vous avez un seul signe qui est en fait assez cool, en particulier pour les personnes ayant beaucoup de comptes ici et là.
Le serveur OpenID fournit des informations de base sur l'utilisateur, enregistrant la nécessité d'écrire toutes les informations de base habituelles à chaque fois. Dans ce sens, vous sauvegardez les tracas sur vos utilisateurs.
Il améliore plutôt le mécanisme traditionnel de l'utilisateur / Pass. Il existe de nombreux sites autour fournissant les deux systèmes en même temps.
déplace la confiance d'honnêteté de plusieurs parties à un seul. Pour le moment, je ne sais pas si l'un des sites que je suis inscrit sur les magasins mon mot de passe en texte clair pour le voler et essaie de l'utiliser sur d'autres sites en supposant que j'ai le même mot de passe.
L'avantage technique de la délégation. Vous n'êtes pas obligé d'utiliser le même fournisseur. Vous pouvez changer.
Vous devez toujours fournir un utilisateur / mot de passe à ceux qui ne comprennent pas le nouveau paradigme ou qu'ils n'ont pas d'OpenID (peut-être qu'ils l'ont-ils, mais ils ne savent pas). Si c'est une large gamme de personnes, vous essayez de vous adresser, vous pourriez alors les effacer.
En outre, je ne l'utiliserais pas pour quelque chose de grave. Je ne ferais pas confiance à ma banque me demandant de me connecter avec mon OpenID, mais également de nombreux sites de commerce électronique. C'est bon pour des choses sans importance.
Le fournisseur OpenID peut suivre les habitudes de l'utilisateur, car elles reçoivent toutes les demandes d'authentification. C'est pourquoi j'ai déployé mon fournisseur personnel.
Enfin, aussi loin que j'ai vu, de nombreux cas de serveurs OpenID déplacent le mot de passe à ClearText, mais c'est ma compréhension et je pourrais me tromper. J'ai déployé mon propre fournisseur OpenID et je suis allé à Bonne affaire afin que le mot de passe soit transporté via https, même si mon OpenID est marqué comme http
L'avantage principal que je vois, bien que cela ne soit pas nécessairement applicable dans votre cas si vous voulez garder votre système existant, c'est que je n'ai pas à vous soucier de stocker des mots de passe.
Trop de personnes utilisent le même mot de passe (ou un petit ensemble de mots de passe) pour tout, de sorte que si mon site était compromis (et j'espère que j'étais suffisamment qualifié pour éviter cela, mais la sécurité est une bête multi-couches , alors quoi que ce soit pour ajouter une sécurité supplémentaire dans mon livre est bon dans mon livre) puis l'attaquant n'a pas pu obtenir le mot de passe.
Pour l'utilisateur, ils peuvent maintenant avoir légitimement un mot de passe pour tout. Ils utilisent un fournisseur OpenID qu'ils font confiance plutôt que de devoir faire confiance à Tom Dick ou Harry sur Internet avec un site Web.
Bien prendre à titre d'exemple, il soutient les deux. Je me connecte à l'aide de mon compte Google via OpenID mais j'ai toujours besoin d'avoir un compte / nom d'utilisateur pour créer un lien vers mon OpenID. Je suppose que vous n'êtes autorisant que les connexions via OpenID mais pas pour que vos utilisateurs se connectent à l'aide de votre site en tant que serveur OpenID.
pour effacer les choses; Vous pouvez utiliser beaucoup votre code de connexion / déconnexion et vous en aurez besoin car la seule différence est que vous vous authentifiez via une tierce partie au lieu de votre propre base de données. En pseudo-code, imaginez ceci: Vous voyez donc, principalement le processus d'authentification est modifié pendant que vous êtes toujours également utilisé. L'avantage est assez clair: Les inconvénients sont (je pouvais imaginer): Je tiens à souligner que soutenir OpenID ne doit rien changer pour vos utilisateurs existants. Les utilisateurs OpenID doivent toujours avoir un compte, ils sont tout simplement authentifiés par un tiers -Party.
En effet, OpenID forme l'élément d'authentification (qui ils sont). Le compte d'utilisateur dans votre application définit l'élément d'autorisation (ce qu'ils peuvent faire).