OpenID提供商 - 什么阻止恶意提供商？

所以我喜欢OpenID的想法.我在我的网站上支持它,并在任何可能的地方使用它(就像这里!).但我不清楚一件事.

支持OpenID的站点基本上接受任何OpenID提供程序,对吧？对于想要减少机器人注册的网站,这有什么用？什么阻止恶意OpenID提供程序自动设置无限制的bot ID？

我有一些想法,并将它们作为一个可能的答案发布,但我想知道是否有人能看到我错过的明显的东西？

你混淆了两件不同的东西 - 识别和授权.仅仅因为你知道某人是谁,这并不意味着你必须自动允许他们做任何事情.Simon Willison在An OpenID中很好地涵盖了这个不是一个帐户! 有关白名单的更多讨论可在OpenID社交白名单中找到.

对你的问题的简短回答是,"它没有." OpenID故意只提供一个集中认证站点的机制; 您可以自行决定接受哪些OpenID提供商.例如,微软最近决定只在少数几家提供商的Healthvault网站上允许使用OpenID.公司可能决定只允许从其LDAP支持的访问点进行OpenID登录,政府机构可能只接受来自生物识别支持站点的OpenID,并且博客可能只接受TypePad,因为他们进行了大量的垃圾邮件审查.

OpenID似乎有很多混乱.它最初的目标只是提供一个标准的登录机制,这样当我需要一个安全的登录机制时,我可以从任何或所有OpenID提供商中选择来处理这个问题.允许任何人在任何地方建立自己的可信赖的OpenID 提供商从来都不是目标.有效地做第二个是不可能的 - 毕竟,即使加密,也没有理由你不能设置自己的提供商安全地撒谎,并说它正在验证你想要的任何人.拥有单一的标准化登录机制本身已经是一个很大的进步.