Open ID Is A Nightmare

dalaohu

I've always been a major proponent of Open ID. I love the idea and the intention - it's a great solution to a long-standing problem and solves a lot of issues for developers. Unfortunately it creates a ton more for business owners.

- Rob Conery

全文：http://blog.wekeroad.com/thought ... party-that-happened

问题是，To be or not to be?

dalaohu

我正要准备implement OpenID, 突遇这篇文章，一下在情绪全无了。

讨论一下。

乱码

不熟，帮你顶一下！

garysu

不懂，但我老是忘记自己的openID

dalaohu

openid 为什么不用你gmail或facebook啥的，这是最大的优点。 忘到不会忘。
像文中提到的抱怨，感觉也很现实。

想想也是，internet上用openid的大网站好像也聊聊无几啊。

degra

原帖由 garysu 于 2011-5-14 23:32 发表
不懂，但我老是忘记自己的openID

openID 的好处之一就是不容易忘记ID， 你却把它忘记了

kr2000

关键是各个provider还没统一，而且很多地方不支持openID
如果我一天只去一个支持openID的网站，我可能就懒的用openID了

其实用twitter或facebook的authentication还不错，反正很多人每天都要登录她们

windix

原帖由 kr2000 于 2011-5-15 11:18 发表
其实用twitter或facebook的authentication还不错，反正很多人每天都要登录她们

Facebook我不熟, 但是Twitter 是oauth provider, 不是openid provider:

http://blog.est.im/archives/2808

http://www.wuxiaohua.com/?q=node/97

kr2000

我是这个意思，不一定用openid，用这些social的登录可能用户比较喜欢

原帖由 windix 于 2011-5-15 15:11 发表


Facebook我不熟, 但是Twitter 是oauth provider, 不是openid provider:

http://blog.est.im/archives/2808

http://www.wuxiaohua.com/?q=node/97

garysu

原帖由 gandu 于 2011-5-14 23:42 发表


openID 的好处之一就是不容易忘记ID， 你却把它忘记了

因为在用的网站的id pwd我都记得，于是申请了openid后就没怎么用，接着就忘记了

flyspirit

OpenID我大致有个概念，但是不深入。 我觉得user information和authentication对buisness来说太关键， 公司都会希望建立自己的user database。 去第三方authentication是第二选择。 因此推广并不是很顺利。

kr2000

user information 很重要，还是得存在自己这里，但authentication就是个包袱了，把包袱丢给第三方其实挺好
关键是用户目前感觉不到有多方便

原帖由 flyspirit 于 2011-5-16 12:58 发表
OpenID我大致有个概念，但是不深入。 我觉得user information和authentication对buisness来说太关键， 公司都会希望建立自己的user database。 去第三方authentication是第二选择。 因此推广并不是很顺利。

dalaohu

概念很好的，我很喜欢。 改天有情绪了，implement一下。
不过到处要跟第三放申请key啥的，很麻烦。

dalaohu

原帖由 flyspirit 于 2011-5-16 12:58 发表
OpenID我大致有个概念，但是不深入。 我觉得user information和authentication对buisness来说太关键， 公司都会希望建立自己的user database。 去第三方authentication是第二选择。 因此推广并不是很顺利。

user info 还是你的，只是auth 外包了。

乱码

原帖由 dalaohu 于 2011-5-16 13:10 发表


user info 还是你的，只是auth 外包了。

authentication不是什么难事，但如果自己的产品跟openid provider不相干，会让用户觉得很奇怪。

但这是user experience，我没有这方面的expertise.

dalaohu

这主要是用户体验的提升，像paypal一样。
难度上反而比自己做auth跟繁琐。

乱码

原帖由 dalaohu 于 2011-5-16 13:22 发表
这主要是用户体验的提升，像paypal一样。
难度上反而比自己做auth跟繁琐。

没用过openid的api，但我猜想应该容易才对.

如果想做customized的东西，比如marketing方面的(比如champaign/promotion)，是不是还要从openid provider拿数据？应该不是免费的吧？

credit card expiry reminder email怎么做？

kr2000

除了密码，其他的都可以自己存着，包括email

原帖由 乱码 于 2011-5-16 13:32 发表


没用过openid的api，但我猜想应该容易才对.

如果想做customized的东西，比如marketing方面的(比如champaign/promotion)，是不是还要从openid provider拿数据？应该不是免费的吧？

credit card expiry reminder email怎么做？

dalaohu

openid 只是auth, 只用那些CC， market promo form 都还是你自己的db。

我改天试一下吧，再谈谈感受。

那天都已经要做了，看到了那边文章吓了一跳。加上要找 sdk， 申请key，挺麻烦的。

乱码

原帖由 kr2000 于 2011-5-16 13:37 发表
除了密码，其他的都可以自己存着，包括email

我是说如果用了openid provider，就应该没有让user register这个东西，user的info从哪儿来？

我猜应该是website在openid provider注册，拿到自己的identity，然后以后用到openid provider的service的时候，request中有自己的identity，然后根据这个request的性质provider收取费用，比如authentication免费，但要pull user其他的数据，可能要收取一定的费用的，但这也应该是在user在这个openid provider注册时候share给第三方的数据。

once again，上面这些我也只是猜测,correct me if i'm wrong.

乱码

原帖由 dalaohu 于 2011-5-16 13:39 发表
openid 只是auth, 只用那些CC， market promo form 都还是你自己的db。

我改天试一下吧，再谈谈感受。

那天都已经要做了，看到了那边文章吓了一跳。加上要找 sdk， 申请key，挺麻烦的。

用它的sdk中的api是一定的.

申请key就是自己在provider那边的identity，为了让provider来tracing你用它的service.

这些东西都应该省不了。

bullying520

LS几位都是大牛人..........

kr2000

一般的情况是这样，主要还是要看网站是干神马的
像新足迹，如果支持openid，你可以不用注册，直接openid登录了后上来发帖
显示的时候作者就是你的openid。 但是如果你要添加昵称，签名，来自哪里神马的，还是会在本地储存。

如果搞个online shopping神马的，客户的付款，送货信息还是得存阿，不会存到openid的供应商那里去的，只是user表里面可能就是一个id和openid。

原帖由 乱码 于 2011-5-16 13:44 发表


我是说如果用了openid provider，就应该没有让user register这个东西，user的info从哪儿来？

我猜应该是website在openid provider注册，拿到自己的identity，然后以后用到openid provider的service的时候，request中有自己的i ...

乱码

原帖由 kr2000 于 2011-5-16 16:36 发表
一般的情况是这样，主要还是要看网站是干神马的
像新足迹，如果支持openid，你可以不用注册，直接openid登录了后上来发帖
显示的时候作者就是你的openid。 但是如果你要添加昵称，签名，来自哪里神马的，还是会在本地储存。

如果 ...

嗯，同意。

不过现在很多ebusiness网站，比如ebay就直接用provider的api，比如user的posting address就是在paypal（如果paypal作为payment method的话），当然user在这个website自己注册的东西也可以用.

我总是感觉如果允许用户注册，同时又用openid，属于多余，毕竟authenticate一点都不难，干吗还要outsource给其他provider？可能有其他的考虑，不过我不知道而已。

dalaohu

基本上就是。

想openid provider.  ie google 发一个request。
https://www.google.com/accounts/o8/id

然后用户转到google登录。成功后。 google 会返回给你response。
成功的response里有 hash id， email， 目前birthday， fullname都是null， 可能要用其他的protocol。

如果 response 的status 是 "AuthenticationStatus.Authenticated",你就可以认为用户authenticated了。然后你拿着这些返回的数据在做相应的后续处理。

感觉还可以。

dalaohu

原帖由 乱码 于 2011-5-16 16:46 发表

我总是感觉如果允许用户注册，同时又用openid，属于多余，毕竟authenticate一点都不难，干吗还要outsource给其他provider？可能有其他的考虑，不过我不知道而已

这就像你可以自己implement payment，一点也不难，为什么还要支持paypal呢？
用户信任度高一点。

dalaohu

可以把系统同时支持自己的auth，和openid auth。 给用户更多的选择。

乱码

原帖由 dalaohu 于 2011-5-16 16:52 发表


这就像你可以自己implement payment，一点也不难，为什么还要支持paypal呢？
用户信任度高一点。

payment存在这个考虑，毕竟很多user不希望提供自己的credit card number给网站（没有paypal payment的online shopping的website我自己肯定不会买东西的）。

但其他跟钱无关的registration还可以接受，顶多给我发点垃圾邮件，不会有大麻烦。

web devlopment这个行业实在太滥了，很多project毫无security可言，不能给他们太敏感的信息。