Ho lavorato su un nuovo sito Web e volevo qualche consiglio/feedback su OAuth vs OpenID vs nome utente/password di proprietà del sito standard.OAuth? , OpenID? Nessuno dei due? Quale dovrebbe essere il mio sito di supporto?
La mia impressione di OAuth è che è più per consentire un accesso sicuro e autenticato a un'API piuttosto che per un accesso generale dell'utente.
Personalmente, mi piacerebbe vedere altri siti supportano OpenID.
Si consiglia di leggere this article di Malcom Tredinnick che spiega cosa sono openid e oauth e cosa fare. Servono a scopi diversi.
In sintesi, openid verrebbe utilizzato per identificare in modo univoco gli utenti: è una soluzione di identità. oAuth fornirebbe un mezzo per interagire con i dati a cui gli utenti del tuo sito hanno accesso consentendo all'utente di concedere al tuo sito l'accesso temporaneo a servizi esterni, ad esempio il loro account flickr: si tratta di uno strumento di autorizzazione.
Offrire solo l'account standard specifico del sito è sempre un'opzione, ovviamente, ma IMHO, supportare openid è meglio per i tuoi utenti e per il web. Molti siti che implementano openid consentono agli utenti di utilizzare un openid se ne hanno uno, ma consentono anche agli utenti di accedere e creare account senza openid. Quindi, non è necessariamente una o/o proposizione. Puoi fare entrambe le cose!
Ricorda che, anche se il tuo sito non ha bisogno di accedere ai dati personali dei tuoi utenti su altri siti, OAuth può ancora essere applicato se il tuo sito ha dati che gli utenti potrebbero voler accedere tramite un'API o da un altro web luogo. Con OAuth, entrambe le estremità potrebbero applicarsi al tuo sito.
È possibile combinare tutti e ottenere il meglio da esso, ma dipende dalle scelte di progettazione.
Ad esempio, se si utilizza Java, è possibile configurare Acegi (Spring Security) per consentire openID insieme al normale meccanismo di autenticazione.
OpenID ha estensioni OAuth
OAuth ha estensioni OpenID
Sta a voi ...
Janrain consente di accettare solo di everything. Dato che i grandi giocatori vorranno sempre essere fornitori ma non consumatori, questa potrebbe essere l'unica opzione "universale" realistica.
Here è la spiegazione brillantemente chiara. Proveniente direttamente dalla documentazione di OAuth.
C'è un nuovo standard, chiamato OpenID Connect nell'anteprima dello sviluppatore a partire da novembre 2011. È basato su OAuth 2.0 e, per quanto ho capito, standardizza il modo in cui Facebook fa le cose, anch'esso basato su OAuth 2.0. Sembra promettente in quanto c'è molta esperienza con il protocollo di autenticazione di Facebook e potrebbe essere la soluzione che molti sviluppatori web stanno cercando. Non mi sono ancora tuffato in esso, anche se così potrei fraintenderlo, ma è così che lo capisco dopo aver letto lo this blog post.
Sono favorevole al supporto dell'integrazione dell'autorizzazione utente tramite OpenID, Facebook e altri autenticatori. Dare all'utente una scelta.
ANCHE dare loro la possibilità di non usarli.In particolare nei siti web per adulti i tuoi utenti potrebbero scegliere di non scegliere qualcosa che non sia anonimo come una semplice registrazione al tuo sito web. Basta usare le migliori pratiche quando si tratta di memorizzare le password.
il collegamento dell'articolo non funziona, ci sono delle alternative? –
Ecco una versione dalla macchina Wayback: http://web.archive.org/web/20080318052514/http://www.pointy-stick.com/blog/2008/03/13/explanation-difference-tra between-openid -e-OAuth / – Martijn