爲什麼我不應該使用Facebook Connect或OpenId登錄用戶？

Question

Jeff Atwood argues我們應該停止要求用戶在我們的網站上註冊，因爲我們應該使用他們的「互聯網驅動程序許可證 - 即[現有的Twitter，Facebook，Google或OpenID憑據]來驗證它們。

雖然我開始認爲他可能是對的，但我還是決定不了，我正在尋找反對讓外國網站獲得個人網頁控制權的論據。

您是否看到過驗證用戶身份的任何危險？

Answer 1

如果您想要基於以前處理過此技術的人員獲得更深入的響應，您應該聽聽最近與Rob Connery合作的.NET Rocks，這正是與此主題有關的內容。 http://www.dotnetrocks.com/default.aspx?showNum=626

聽完之後，我決定不在我的網站上使用OpenID。

這裏是鏈接到Rob的博客帖子關於這個問題： http://blog.wekeroad.com/thoughts/open-id-is-a-party-that-happened

Answer 2

這裏有許多原因不，雖然每個帶有警告：

• 如果只用一個外部服務認證，誰不使用該服務不能使用你的。
• 如果您的外部身份驗證服務關閉，用戶將無法使用您的身份直到他們恢復正常;同樣，他們的身份驗證服務器速度變慢也會影響到你。
• 要求用戶使用其他服務進行身份驗證需要他們接受該服務的EULA，這可能會導致某些服務的關閉;同樣，它將道德地與你的認證服務所做的任何決定聯繫起來。特別是，它可以使您看起來像是一個衛星，分拆或授權網站的附屬機構，因爲用戶每次嘗試使用您的服務時都必須看到自己的標誌。
• 外部認證域可以爲您的觀看者提供完美的快照，讓他們深入瞭解您的公司正在做什麼。由於他們的分析工具和工作人員通常都是頂尖的，他們可能會比您更瞭解您的用戶羣。

避免這個問題的主要方法是讓人們使用自己選擇的服務而不是單一的服務。如果您僅限於開發一個開發時間限制，那麼使用OpenID是最好的選擇，因爲許多其他身份驗證域也符合OpenID標準，因此可以改善大部分上述問題。

Answer 3

我想使用的ID從這些大牌都OK，只要你不提供服務，需要像電子郵件的端點， IM等。

但是，OpenID只是不值得信賴。如果您有任何疑問，請嘗試以下的OpenID

http://opennoid.appspot.com/anyid

這是一個不需要密碼登錄的一次性ID。