我喜欢OpenID的理念。我在我的网站上支持它,并在任何可能的情况下使用它(比如这里!)。但是有一点我不太清楚。
支持OpenID的网站基本上接受任何可用的OpenID提供者,对吧?那么那些想要减少机器人注册的网站应该怎么办呢?防止恶意的OpenID提供者自动设置无限制的机器人ID有什么措施吗?
我有一些想法,并将它们作为可能的答案发布,但我想知道是否有人能看到我忽略的一些明显问题?
您混淆了两件不同的事情——身份验证和授权。仅仅因为您知道某人是谁,并不意味着您必须自动地给他们做任何事的许可。Simon Willison在An OpenID is not an account!中很好地涵盖了这一点。有关白名单的更多讨论可以在Social whitelisting with OpenID中找到。
OpenId不过是用户在注册您的网站时选择的用户名和密码。您不能依赖OpenId框架来筛选机器人;您的注册系统仍应该负责此项工作。