Почему я НЕ должен использовать Facebook Connect или OpenId для входа в систему?

Question

Джефф Этвуд утверждает, , что мы должны перестать просить пользователей регистрироваться на наших сайтах, потому что нам лучше использовать их "водительские права в Интернете - то есть [их] существующие Twitter, Facebook, Google или OpenID учетные данные »для их аутентификации.

Хотя я начинаю думать, что он, возможно, прав, я пока не могу решить, и я ищу аргументы против того, чтобы позволить иностранным сайтам получить контроль над личными веб-страницами.

Видите ли вы какие-либо опасности при аутентификации таких пользователей?

Answer 1

Если вы хотите получить более подробный ответ от кого-то, кто раньше имел дело с этой технологией, вам следует послушать последние .NET Rocks с Робом Коннери, которые были именно об этой теме. http://www.dotnetrocks.com/default.aspx?showNum=626

После прослушивания я решил НЕ использовать OpenID на моем сайте.

Вот ссылка на пост в блоге Роба на эту тему: http://blog.wekeroad.com/thoughts/open-id-is-a-party-that-happened

Answer 2

Вот несколько причин, почему нет, хотя каждая из них сопровождается предостережениями:

• Если вы проходите аутентификацию только с помощью одной внешней службы, любой, кто не использует эту службу, не может использовать вашу.
• Если ваша внешняя служба аутентификации выйдет из строя, пользователи не смогут использовать вашу, пока не восстановится их;Точно так же замедление работы их сервера аутентификации также повлияет на вас.
• Требование к пользователям проходить проверку подлинности с помощью другой службы требует от них принятия лицензионного соглашения этой службы, что для некоторых может быть отключением;аналогично, это морально связывает вас с любыми решениями, которые принимает ваша служба аутентификации.В частности, это может привести к тому, что вы станете сателлитом, дополнительным партнером или партнером сайта авторизации, поскольку пользователи должны видеть свой логотип каждый раз, когда пытаются использовать ваш сервис.
• Внешний домен авторизации получает идеальный снимоквашей аудитории, давая им много понимания того, что делает ваша компания.Поскольку их аналитические инструменты и персонал, как правило, первоклассны, они, вероятно, могут знать больше о вашей пользовательской базе, чем вы.

Основной способ избежать этой проблемы - позволить людям пользоваться услугойих выбор, а не один сервис.Если вы ограничены в разработке одного из них, для ограничения времени разработки лучше всего использовать OpenID, поскольку многие другие домены аутентификации также квалифицируются как OpenID и, следовательно, облегчают большинство из перечисленных выше проблем.

Answer 3

Я думаю, что использовать идентификаторы из любого из этих громких имен можно, если вы не предоставляете услугу, для которой требуется конечная точка, такая как электронная почта, IM и т. Д.

Однако OpenID просто не заслуживает доверия. Если у вас есть какие-либо сомнения, попробуйте этот OpenID

http://opennoid.appspot.com/anyid

Это одноразовый идентификатор, для входа в который не требуется пароль.