我对OpenID的理解是,它提供一种方法,使一个网站包含所有您的身份和外围信息,但让其他OpenID兼容(且用户信任的)网站重复使用该信息以识别和认证用户。基本上,它最小化了用户在互联网上拥有的登录凭据(用户名和密码)的数量。
我对OpenSSO的理解是,它允许您登录一个网站并自动登录第一个网站信任的所有其他网站。基本上,它最小化了用户必须登录这些不同网站的次数。
我对OAuth的理解是,它允许用户授予第三方网站对其在一个特定网站上的信息的某些访问权限。基本上,就像OpenSSO一样,它最小化了用户必须登录这些不同网站的次数。与OpenSSO不同的是,OpenSSO会一次性将用户登录到所有参与的网站(并启用完整权限),而OAuth则向这些参与的网站授予更精细的访问权限。
所以,首先,如果我说错了什么,请先纠正我!
假设我说的大体正确,那么我对以下事项有以下问题/需要澄清:
我对OpenSSO的理解是,它允许您登录一个网站并自动登录第一个网站信任的所有其他网站。基本上,它最小化了用户必须登录这些不同网站的次数。
我对OAuth的理解是,它允许用户授予第三方网站对其在一个特定网站上的信息的某些访问权限。基本上,就像OpenSSO一样,它最小化了用户必须登录这些不同网站的次数。与OpenSSO不同的是,OpenSSO会一次性将用户登录到所有参与的网站(并启用完整权限),而OAuth则向这些参与的网站授予更精细的访问权限。
所以,首先,如果我说错了什么,请先纠正我!
假设我说的大体正确,那么我对以下事项有以下问题/需要澄清:
- 何时选择OpenSSO而不是OAuth-只有当我想限制用户登录其中一个站点时,其他参与站点的访问权限吗?
- 这些技术是否存在不同的安全风险,我需要考虑并集成到我的应用程序中-还是它们被认为是本身安全的(基本上,如果我的应用程序使用它们,我可以放心,我的应用程序不会面临任何新攻击)?