OAuth? , OpenID? Ни? Какой из них должен поддерживать мой сайт?

Question

Я работал над новым веб-сайтом и хотел получить совет / отзыв о OAuth против OpenID против стандартного имени пользователя / пароля, принадлежащего сайту.

Answer 1

Вы можете прочитать эту статью Малкома Трединника, которая объясняет, что такое openid и oauth, и делает. Они служат разным целям.

Таким образом, openid будет использоваться для уникальной идентификации пользователей - это решение для идентификации. oAuth предоставит средство для взаимодействия с данными, к которым имеют доступ пользователи вашего сайта, позволяя пользователю предоставить вашему сайту временный доступ к внешним службам, например, к их учетной записи flickr - это инструмент авторизации.

Конечно, всегда можно предложить только стандартную учетную запись, специфичную для сайта, но IMHO, поддержка openid лучше для ваших пользователей и для Интернета. Многие сайты, которые реализуют openid, позволяют пользователям использовать openid, если они есть, но также позволяют пользователям входить в систему и создавать учетные записи без openid. Таким образом, это не обязательно предложение. Вы можете сделать оба!

Answer 2

Имейте в виду, что даже если вашему сайту не требуется доступ к личным данным ваших пользователей на других сайтах, OAuth все равно может применяться, если на вашем сайте есть данные, к которым пользователи могут захотеть получить доступ через API или с другого веб-сайта. , С OAuth любой конец или оба могут применяться к вашему сайту.

Answer 3

Я поддерживаю интеграцию авторизации пользователей с использованием OpenID, Facebook и любых других аутентификаторов. Дайте пользователю выбор.

ТАКЖЕ дает им возможность не использовать их. В частности, на сайтах, ориентированных на взрослых, ваши пользователи могут предпочесть не использовать что-то, что не является анонимным, как простая регистрация на вашем сайте. Просто используйте лучшие практики для хранения паролей.

Answer 4

Мое впечатление от OAuth заключается в том, что он больше предназначен для обеспечения безопасного аутентифицированного доступа к API, а не для доступа общего пользователя.

Лично я хотел бы, чтобы другие сайты поддерживали OpenID.

Answer 5

Существует новый стандарт, который называется OpenID Connect в предварительном просмотре для разработчиков с ноября 2011 года. Он построен на OAuth 2.0 и, насколько я понимаю, стандартизирует методы работы Facebook, что также построен на OAuth 2.0. Это выглядит многообещающе, так как есть большой опыт работы с протоколом аутентификации Facebook, и это может быть решение , которое ищут многие веб-разработчики. Я еще не углубился в это, хотя, возможно, я неправильно понимаю, но вот как я понимаю это после прочтения этого сообщения в блоге об этом.

Answer 6

Здесь - блестяще ясное объяснение. Исходя из документации OAuth.

Answer 7

JanRain позволяет принимать примерно все . Учитывая, что крупные игроки всегда хотят быть поставщиками, а не потребителями, это может быть единственным реалистичным «универсальным» вариантом.

Answer 8

Вы можете объединить их все и извлечь из этого максимум пользы, но это зависит от вашего выбора дизайна.

Например, если вы используете Java, вы можете настроить Acegi (Spring Security) для разрешения openID вместе с обычным механизмом аутентификации.

openID имеет расширения OAuth

OAuth имеет расширения openID

Вам решать ...