OpenID及其原理介绍,OAuth和OpenID的区别

OpenID及其原理介绍

昨天和朋友谈到统一身份验证时,才知道这个OpenID的东东,汗一个先...

这是一套不别于微软的Passport(或者其他厂商的一些所谓通行证技术)的开源的解决方案,支持自己架设验证服务器。我想对于企业内部大部分应用系统实现统一登录是会有些帮助的。它的主要原理是

1. 你首先得拥有一个合法的OpenID帐号,也就是说需要在一个验证服务器申请了一个帐号。

2. 你有了这个帐号之后,就可以在任何一个其他支持OpenID验证的网站,并且用你上面申请的OpenID进行登录

3. 因为这个网站并不知道你的身份是否正确,所以它会请求你的验证服务器对你的身份进行验证。

4. 验证服务器告诉网站说,你是合法用户

5. 网站接受你的身份,让你进入。

 

在生活中的例子大致可以是这样的:

1. 你在本国申请一个护照

2. 你周游列国时出示护照

3. 该国的出入境管理单位,根据你的护照信息,请求你所在国的出入境管理单位的验证

4. 所在国的出入境管理单位确认你的身份

5. 你可以在任何国家游览了

 

从技术上说,这个OpenID与Passport并没有本质区别。与Cardspace的道理也是一样的。甚至可以说,它的原理并不深奥。回头有机会研究看看如何应用起来。

网上也有人讨论说,这与网站的根本利益是冲突的,因为网站都想拥有自己的用户群体。这没错,但对于企业内部应用来说,可能情况就不是这样的了。我比较关注企业应用层面。

 

官方网站是http://openid.net/

image

开源地址是http://code.google.com/p/dotnetopenid/ 

image


OAuth和OpenID的区别

OAuth关注的是authorization;而OpenID侧重的是authentication。从表面上看,这两个英文单词很容易混淆,但实际上,它们的含义有本质的区别:

  • authorization: n. 授权,认可;批准,委任
  • authentication: n. 证明;鉴定;证实

OAuth关注的是授权,即:“用户能做什么”;而OpenID关注的是证明,即:“用户是谁”。

如果混淆了OAuth和OpenID的含义,后果很严重。以国内某网站开发的应用为例:它的功能是通过OAuth授权让新浪微博和豆瓣的用户使用各自的身份发表评论,如下图所示:

错误的把OAuth当做OpenID使用

错误的把OAuth当做OpenID使用

此类应用属于身份证明问题,本应该通过OpenID来实现,但因为错误的使用了OAuth,从而带来安全隐患:设想一下用户只是在网站上发表了评论而已,但却赋予了网站随意操作自己私有数据的权利!这就好比:快递员送包裹,为了证明收件人的身份,原本你只要给他看一下身份证即可,可你却把防盗门钥匙都给他了!Oh,My God!


  • OpenID是关于证明、证实身份(Authentication)的,好比火车站进站的时候拿出身份证和车票来看,比对是否同一个人。这是在回答「我是谁?这就是我」,是为了证实「这不是一个匿名的不可查的信息源头」,因为匿名对象和信息对网络服务商来说不好统计管理,也不利于产生价值。

  • OAuth 是关于授权、许可(Authorization)的,好比坐飞机过安检的时候除了看身份证,还要求掏出兜里的东西,拿出包里的东西、手机等随身物品以便检查,这时就需要得到被检查人的许可才行,被检查人有权利扭头就走,但要想登机,必须给予许可、掏出物品。这是在回答「我同意让你对我进一步做些什么」,是为了在被授予权限的前提下,更多的获取除了账号密码以外的个人信息,例如:联系人通讯录,邮箱号,电话号,地址,照片,聊天记录,网络发言、活动记录,GPS 信息等等,来满足用户对服务的功能需要,或者「其他需要」。


评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值