openID достаточно безопасен для внедрения в коммерческие сайты

Question

Я хотел бы получить отзыв

Я думаю, что название говорит само за себя, но вот моя точка зрения.

Например, если у меня есть (несколько) сайт покупок, это также даетиз airmiles или чего-то подобного, что напрямую связано с обменом денежной стоимости, - openID по-прежнему достаточно безопасен или если на сайте есть собственная процедура входа в систему, как в банках.

EDIT

Если OpenID можно использовать для первоначальной идентификации, то как дополнительная личная информация, которую потребитель должен предоставить для сайта, может быть связана с процедурой проверки openID.Есть ли как постоянный токен, который я получаю от openID, который я храню вместе с остальной персональной регистрационной информацией?

Является ли этот подход полезным, достаточно безопасным для реализации openID?

какие-либо мысли,мнения, пожалуйста?

спасибо, Ричард

Answer 1

Если вам нужна личная информация, вы должны запрашивать ее независимо от того, являетесь ли вы поставщиком или нет.

Сам OpenID не имеет никакого отношения к каким-либо данным, кроме идентификатора и пароля пользователя.
Персональные данные управляются расширением, таким как AX, которому нельзя и не следует доверять для предоставления реальных данных или каких-либо данных вообще.

Другими словами:

• если вы поставщик , вам нужно запросить данные, потому что вы ничего не получите автоматически из любого места
• если вы потребитель , вы можете получить некоторые данные из OP, но вы должны проверить их самостоятельно (и, возможно, запросить недостающие данные). Например, вы обычно не можете доверять предоставленному адресу электронной почты

Это безопасно?

Реализовано правильно, скорее всего, достаточно безопасно. По крайней мере до такой степени, что невозможно взломать аккаунт без взлома провайдера.

Тем не менее, я не могу доказать, что это безопасно, и я не знаю ни о какой работе, претендующей на это (или иным образом). До сих пор я никогда не слышал об уязвимости в самом протоколе.