OpenID действительно так плохо?

31

Я видел этот вопрос на Quora, где многие люди сходятся во мнении, что OpenID плох, даже если дошли до того, что:

OpenID - худшее из возможных «решений», которое я когда-либо видел за всю свою жизнь, для проблемы, которой у большинства людей на самом деле нет

Затем я видел статьи и твиты, ссылающиеся на этот вопрос, в которых говорилось, что OpenID проиграл, а Facebook выиграл.

Грустно читать, так как мне очень нравится OpenID (или, по крайней мере, идея, стоящая за ним). Я буквально ненавижу получать еще один логин / пароль для страницы (я все равно забуду это) - это довольно серьезная проблема для меня, и я знаю много людей с такой же проблемой. Таким образом, я подумал, что OpenId - отличное решение, но я больше не уверен.

Таким образом, вопрос заключается в том, стоит ли мне по-прежнему реализовывать OpenID или оно того не стоит? Какой самый надежный и удобный (с точки зрения пользователя) способ идентификации и аутентификации пользователя?

доплеровских
источник
7
У OpenID есть свои недостатки, но, поскольку я не слышал ничего лучшего, чтобы заменить его, я бы не сказал, что он потерян. Facebook не является альтернативой OpenID, так как он централизован, и многие люди просто не хотят иметь аккаунт в Facebook. Стоит ли усилий? По моему субъективному мнению, это так.

Ответы:

13

Это обсуждение всегда возникает из-за одного в значительной степени игнорируемого факта: OpenID никогда не разрабатывался как протокол входа в систему. Это более поздняя ошибка.

OpenID задумывался как сервис проверки URL домашней страницы . И для этого это было осуществимо. Но из-за отсутствия альтернатив он был быстро перенаправлен в общий протокол входа в систему. Некоторые функции были созданы (простой reg, обмен атрибутами), чтобы облегчить это. Но по своей сути OpenID является схемой проверки полномочий URL.

Это были ошибки в юзабилити и реализации. Преимущество множественного входа имеет значение только для техничных пользователей, а не для простых пользователей. (Не заставляйте меня начинать с надежности; просто спасли мою регистрацию в Stackoverflow.)
Но все же не существует широко распространенной или технически превосходной альтернативы (был некоторый предыдущий OpenID, но не хватало модного слова и маркетингового восприятия). Как заядлый сторонник открытого исходного кода, я бы даже подумал о паспорте Microsoft или Cardspace, что бы там ни было, но сейчас это не вариант.

Вернуться к вашему вопросу: придерживайтесь OpenID. Для обычных пользователей возможно использование пар имени пользователя / пароля oldschool, а OpenID необязательно. Возможно, OpenID3 находит широкое распространение и устраняет некоторые проблемы. Или, может быть, что-то еще приходит. Общая идея концепции была крутой.

марио
источник
Это интересный факт, я этого не знал. Спасибо за ваш ответ Как я уже говорил ранее, я боюсь, что реализация «всего» (согласно моему комментарию к посту @DeveloperArt) отпугнет и / или запутает пользователей, но, возможно, я ошибаюсь, и если все сделано правильно, то это лучшее решение?
DoPPler
11

Вы не можете реализовать ОБА?

Каждый выбирает вариант, исходя из своих предпочтений и состояния паранойи.

OpenID обеспечивают большое удобство. Это также обеспечивает еще более серьезную угрозу безопасности.

[Риск пользователя] Что делать, если Facebook / Google / и т. Д. решить, что ваша учетная запись была взломана, и вам нужно предоставить свой номер телефона или копию паспорта, чтобы включить его? Вы бы пошли на это?

[Риск компании] Что делать, если Facebook / Google / и т. Д. решили закрыть свой сервис или начать взимать плату за это? Тогда, как владелец сайта, вы сильно облажались.

[Шпионаж данных] Зачем позволять им собирать подробную статистику со многих потребительских сайтов и помогать им создавать личные профили людей? Кто знает, что они будут делать с этим? Продать его, использовать его для корректировки своей маркетинговой тактики, отправить его в ЦРУ?

Чувак, это так просто и просто - избегай зависимости от кого-либо и решай для себя, что, когда и если с тобой случится.


источник
Я мог бы пойти и реализовать оба, это правда. Я мог бы добавить поддержку любого провайдера OpenID через URL, затем перечислить 3-4 самых популярных из них, затем добавить поддержку OAuth для Facebook и Twitter, а затем добавить свой старый (хороший?) Логин / пароль / регистрацию по электронной почте / форму входа для пользователей, которые не против еще одного пароля. Дело в том, что я не хочу пугать своих пользователей - я просто хочу, чтобы они могли быстро войти в систему. Что касается упомянутых угроз безопасности - действительно ли они настолько велики ?
DoPPler
Вероятность их возникновения невелика, но если они произойдут, их последствия будут огромными.
4
В любом случае, имейте в виду, что многие люди не имеют учетной записи Facebook и не будут создавать ее. Не стоит отказывать им в доступе.
Много хороших моментов здесь @Developer Art о том, что вы не зависите от одного поставщика, как для бизнеса, так и для отдельного человека. Системы комментариев Disqus и Wordpress осознали, что они дают администраторам (и пользователям) возможность выбора OpenID, Yahoo, Google, Facebook, Twitter, а может и больше. И предложите возможность связать удостоверения личности, но не требуйте этого. Второй хороший момент: не позволяйте одной сущности собирать вашу информацию! Это точно. Это может произойти в любом случае. Зачем делать это проще, используя один и тот же провайдер каждый раз? Кроме того: все Facebook, только мир Facebook не является решением! Хотел бы я дать вам больше голосов.
Элли Кессельман
Ваши аргументы против OpenID на самом деле являются аргументами для OpenID! Любой может запустить свои собственные права доступа OpenID. Мне не нужно создавать учетную запись Google или Facebook для входа на сайт, который использует OpenID. Теперь, когда Google отключил OpenID как способ продвижения своего сервиса Google+, другие, вероятно, тоже сделают это, и мы проиграли битву за действительно открытый стандарт для входа на сайты.
Брэд
5

На самом деле, я думаю, что основная проблема с OpenID не в реализации или в плохом удобстве использования. Я также не думаю, что это проблемы безопасности с OpenID, как таковые. Я думаю, что главная проблема заключается в том, что это решение в поиске проблемы - проблемы, которая для большинства пользователей действительно не так уж и важна.

Лучшим решением проблемы запоминания большого количества паролей и т. Д. Является использование приложения диспетчера паролей. Менеджер паролей даже упростит вам процесс регистрации, так как он автоматически заполнит все общие поля (имя и т. Д.) И автоматически сгенерирует случайный пароль. Как правило, единственное, что вам нужно сделать, это подтвердить свой адрес электронной почты.

Дин Хардинг
источник
Это очень близко к общему мнению в Quora, но я много раз слышал от моих технических и не очень технических друзей, что у них есть проблема с отслеживанием нескольких паролей, поэтому я не думаю, что это проблема, которой «не существует» (однако это может быть меньше неприятностей, чем я думаю). Конечно, использование менеджера паролей - это какое-то решение (не без собственных недостатков), но я ищу технологию, которую я мог бы реализовать, чтобы помочь моим посетителям получить лучший опыт пения.
DoPPler
1

Проблема с openid, или, более общим, с выбором поставщиков учетных записей на веб-сайте для входа на ваш веб-сайт, состоит в том, что пользователи, как правило, забывают, какого поставщика они выбрали ранее. Однажды они могут использовать Google, в следующем месяце они могут использовать Facebook, а через три месяца, возможно, Twitter. Для сайта это будет выглядеть как три разных пользователя. В таком случае пользователи разочаровываются, потому что они могут войти в вашу систему, но не в ту же учетную запись, что и раньше.

Marcin
источник
1
Вы уверены в этом? Я удивился тому же самому, как только впервые услышал об OpenID. Я пытался проверить себя, посмотреть, правда ли то, что вы описали. Иногда это происходит, как в StackExchange, с их реализацией OpenID. Но другие веб-сайты ДЕЙСТВИТЕЛЬНО правильно связываются с прошлыми входами в систему или запрашивают, имел ли я предыдущий аккаунт, и в общих чертах указывают прошлых провайдеров OpenID. Может быть, это из-за комбинированного входа в OpenID-OAuth? Я не знаю. Но я согласен с вами, пользователи забывают, какого провайдера они выбрали раньше! Это настоящая проблема.
Элли Кессельман
0

Основных проблем с OpenID, как я вижу, две:

  • A) Это не удобно для нетехнических парней
  • Б) Это не так широко используется, как альтернативы

На A, для пользователя, видящего кнопку «Войти через Facebook», легко и просто получить. Видя элемент управления с 10 значками (Google, Yahoo, AOL и т. Д.), Это сбивает с толку. Более того, тот факт, что «логин» - это URL, что многие люди не знают, что он существует, поскольку все, что они делают, - это вводят поиск в Bing / Google и переходят по ссылкам. Я знаю многих людей, что, когда они заходят в Facebook, они ищут Facebook в Google и нажимают на ссылку, не пытайтесь объяснить им концепцию домена!

На B Facebook является стандартом. Это немного похоже на PayPal и альтернативы: для электронной коммерции PayPal может быть не самым лучшим вариантом по цене из-за его комиссий за транзакции, но если они не используют PayPal, они рискуют многими потенциальными клиентами. О входе в систему то же самое: Facebook открывает вашу сеть для 500 миллионов пользователей, которые являются активными пользователями интернета и достаточно технически подкованы, чтобы, вероятно, «получить» ваш сайт. Честно говоря, почему вы должны тратить больше времени на поддержку других вещей? Потратьте это время на разработку продукта!

Из-за B, A становится хуже, так как пользователи ожидают входа в Facebook, и Open Id их больше смущает.

И я не начинаю с вопросов, которые уже обсуждались в Code Horror, о входе пользователей в систему на одном сайте с разными учетными записями Open Id и об этих проблемах, которые могут возникнуть ...

В общем, мне нравится идея Open ID, но (к сожалению?) Facebook сделал это лучше.

Пере Виллега
источник
4
Я видел много реализаций, которые действительно плохие. Но реализация здесь на Stack Exchange, на мой взгляд, довольно хорошая. Возможно, вы могли бы пойти еще дальше и сделать этот опыт очень похожим на опыт входа в Facebook (также Google и Yahoo поддерживают своего рода гибрид OAuth или OpenID / OAuth). Я полностью согласен с тем фактом, что просмотр нескольких провайдеров может вводить в заблуждение и вызывать некоторые дополнительные проблемы, но с другой стороны, это дает вашему пользователю большую гибкость (также я знаю людей, которые не используют Facebook).
DoPPler
Тот факт, что мне приходится входить в систему каждый раз, когда я иду в другую ветку SE, заставляет меня чувствовать, что реализация плохая. FFS, если я использовал свой OpenID для регистрации в SO и Prog, почему, черт возьми, я должен входить в оба при одном посещении? Это прогресс?!?
Дрю