使用OpenID还是不使用？

OpenId 是由 Stackoverflow 实现的。由于您刚注册，您可能已经体验到了其中的好处。

基本上，它可以用于允许用户在不创建帐户或向您发送其任何个人信息的情况下登录网站。只要他们拥有 OpenId 提供商的帐户（例如 Google），他们就可以直接使用他们的 Google 用户名和密码通过您的网站登录。这可以增加客户保留率，并减少用户因忘记密码而离开的可能性。

以下是 37signals.com 的概述，解释了 OpenId 在他们应用程序中的好处：http://www.37signals.com/openid/

当然，您还可以在http://openid.net/找到更多信息。

我想不出有任何理由不使用OpenID，但你需要考虑一些事情。

我建议提供OpenID作为备用机制，主要原因是用户意识的缺乏。很多开发人员不熟悉OpenID，因此用户肯定也不会，在注册/登录页面上看到要求他们的Google或Yahoo登录/密码的OpenID时会感到困惑（什么是OpenID？我的Google登录与购买烤面包机有什么关系？）。因此，他们将被带到Google或其他站点以确认他们愿意允许您的网站访问其登录数据，这可能会让他们更加困惑（这些人可以访问我的Gmail吗？）。从安全角度来看，据我所知，您的网站可能会存储我的Google登录数据，由于信任问题，我可能会放弃登录或购买。

因此，在网站性质的基础上，在前端设置登录/密码系统并在侧边提供OpenID可能是明智的选择。

虽然对于我们这些技术人员来说，OpenID的好处已经非常明显，但普通用户有时很难理解在另一个网站上使用一个网站的登录来登陆。他们习惯于为他们开始使用的网站创建一个帐户。

主要问题是用户不完全知道什么是OpenID。通过可用性研究，已经通过将OpenID登录作为提供他们已经拥有的帐户的凭据的可能性来解决了这个问题，例如雅虎、GMail或MS Passport等，因为它们的运营商最近已成为OpenID提供商。就像Yahoo said，“宣传实用性而非技术”。

当然，重要的是要强调他们不必拥有另一个帐户和密码来记住（或放在另一个便笺上；)），并且消费网站没有任何存储提供商凭据数据的方式。这应该足以使他们信服。

但由于提供openid登录的网站的性质各不相同，我会不愿意使用它来登录我的银行账户。

不使用OpenID的一个原因是安全。

如果用户使用第三方OpenID提供商（如Google、Yahoo等），那么有权限的恶意员工可能会获取登录信息并利用用户的帐户。

我在为客户设计管理重要服务的内部应用程序时遇到了这种情况。OpenID非常有吸引力，因为用户已经熟悉外部服务（似乎每个人都有gmail或yahoo帐户）。缺点是任何漏洞都可能导致数十万美元的收入损失。

解决方案是实现一个额外的安全层，对用户透明且无法被OpenID提供商利用：应用程序的登录界面只能从公司网络内访问。

你应该知道，OpenID 可能更容易受到网络钓鱼攻击的影响，因为用户对它了解得较少。如果一个恶意网站假装实现了 OpenID，但将登录尝试转发到其控制下的恶意网站（比如模仿 Google 登录），那么它就可以访问所有 OpenID 网站上被钓鱼用户的帐户。因此，如果你使用 OpenID，可能存在更高的机器人和恶意用户的风险，或者也可能没有。

这在实践中会如何运作，以及它是否会成为一个有效的安全问题，任何人都无法预测。我相信也有一些提议对 OpenID 标准进行修改以尝试缓解这些攻击，但我不知道具体细节。