Может ли мой веб-сайт * безопасно * разрешить вход через Facebook Connect, Google Friend Connect, OpenID, * и * и т. Д.?

Question

Возможно ли, чтобы веб-сайт разрешал пользователям входить в систему несколькими различными способами, такими как Facebook Connect, OpenID и т. Д.?

Не относится к одновременным входам в систему одного и того же пользователя, но интересуется, возможно ли иметь несколько опций "SSO".

Есть ли побочный эффект для пользователя с учетными данными, скажем, при входе в OpenID и Facebook как с отдельной информацией о сеансе, так и с «игрой» или обманом «системы»?

Это основная причина предлагать только одну? Есть ли другие причины?

UPDATE: Чтобы немного уточнить, я должен сказать, что мы хотели бы использовать Facebook Connect, но не у всех наших ожидаемых пользователей есть учетная запись на Facebook. Так же, как с OpenID и т. Д. У нас do есть необходимость привязать действия пользователя к определенной локальной «учетной записи», которая, очевидно, будет синхронизирована с любым провайдером аутентификации, который использовался для входа (или позже, как с SO), но хотел бы предложить максимально возможное удобство.

Может быть, мы должны сделать это самостоятельно?

Answer 1

В моих планах сделать так, чтобы каждый поставщик единого входа мог сопоставлять учетную запись единого входа с идентификатором локального пользователя. Вы сможете назначить несколько учетных записей единого входа для одной локальной учетной записи. Все это скрыто за интерфейсом, возможно, с использованием шаблона Chain-of-Command.

Вы должны посмотреть на использование RPX . Они обрабатывают все это для вас и позволяют Facebook, OpenId, Windows Live Id и многое другое. Результат для вас прозрачен - вы просто получаете непрозрачный токен для представления идентификатора.

Answer 2

Я предлагаю отслеживать все различные формы аутентификации для одной учетной записи. Конечно, это может быть сделано только в том случае, если пользователь делает это. Но посмотрите на это так. Ничто не мешает человеку настроить несколько учетных записей в настраиваемой системе аутентификации и выполнять те же «игры», что и выбор использования различных учетных записей, подобных OpenID, для того же! Использование этих форм аутентификации вместе с собственной системой внутреннего отслеживания - это хороший путь, и на самом деле он не представляет никаких новых сложностей в отношении безопасности, которых вы бы не имели при использовании только собственной системы входа в систему. Он просто добавляет больше удобных факторов для ваших пользователей (за счет большего количества кода для вас ... но разве это не всегда так? (: P)).