本文探讨了OpenID作为分布式验证系统的优势和存在的问题。相比于传统的集成验证和第三方验证,OpenID允许用户自由选择验证服务器,但也面临URL长度、响应速度、安全性、可靠性和用户接受度的挑战。尽管OpenID看似理想,但实际应用中可能存在诸多风险和不便。
说明:此为06年11月写的旧文,还没在CSDN发过,补发一下。
听说今年的网志年会上有一个讨论OpenID的专题。对于网站的身份验证问题不算一个新话题,自从当年MS推出并热炒passport的时候就已经开始了。即使是OpenID也出来有一阵子了。
不过我是看了前一段ZOLA对OpenID的大力推广之后,才开始去了解这个技术。虽然OpenID有自己很大的优势,但同样存在着一些目前不可克服的困难。
首先简单地把目前的身份验证手段分为三类:
1、集成验证。就是现在大多数网站所采用的方式,你要在这个网站访问,就要在这个网站注册一个用户,并且以这个用户身份登录。
2、第三方验证。如MS的Passport。服务提供网站不记录用户身份,而是通过向第三方(如MS)提请验证用户的身份。
3、 分布式验证。以OpenID为例,它的验证过程要麻烦一些:用户以一个URL作为身份标识,这个URL所指向的页面包含了用户所选择的验证服务器 (YADIS),当用户以这个URL登录服务提供网站时,网站从这个URL取得YADIS信息,然后转向YADIS网站,用户在YADIS网站输入密码以 确认身份后,最后反馈到最初的服务提供网站。
第一类验证的优点是简单方便,并且对于网站来说,可以独占用户资源。但缺点也是很明显的:对于 用户来说,要记住自己在每个网站上的用户名和密码并不是一件容易的事——因为难免碰到用户名重复的情况而不得不改变自己的用户名,或是不放心网站的用户资 料管理而在不同网站用不同的密码。
第二类验证提供了一个统一的验证渠道,对于用户来说方便很多,而且由MS这样的大公司提供验证服务也感觉 比较有保障。但对于网站来说就损失了自己的用户资源,特别是当这些网站与MS存在竞争的可能性时,他们就更加不愿意了。而且还有一个潜在的风险就是,一但 这个第三方验证失效(比如GFW),也会受到连带的影响。
于是OpenID横空出世。用户可以自由选择YADIS服务器来记录自己的身份信 息,有条件的用户甚至可以自己建立一个,避免了第三方集中验证存在的失效风险。此外分布的验证机制避免了大公司的垄断,对于网站来说也会感觉好一些。而且 对于用户来说,到
最低0.47元/天 解锁文章
扫一扫
4101
到【灌水乐园】发言
