我希望有一个中央的,完全可定制的,开源的通用登录系统,允许您登录和管理所有在线帐户(可能有?)...
我刚开始构建一个Sinatra应用程序登录谷歌,Facebook,Twitter,亚马逊,OpenID和EventBrite后,我今天才发现RPXNow,看起来它可能会节省一些时间.
但我一直想知道,不是一个身份验证大师,为什么我不能只是有一个时尚的登录页面说"输入用户名和密码,并检查你的登录服务",然后在后台要么刮掉登录页面说EventBrite和以编程方式使用Mechanize提交表单,或者如果有API则使用API?如果他们不必经历弹出窗口和重定向并且他们可以使用任何以前存在的帐户,那将是如此清洁和更好的用户体验.
我的问题是:
我不应该做那样的事情的原因是什么?
我不太了解cookies /会话/安全的严重细节,所以如果你可以描述或指向一些有用的链接,那将是很棒的.谢谢!
编辑:
我熟悉OpenID和API.我真的很想知道事情的安全/法律/保密方面.我完全理解机密性部分,不知道是否有关于此的合法写下来,但假设它在ssl下,并且我不存储任何数据(将存储cookie和令牌),有什么安全隐患?
如果我来到您的网站并给您我的Gmail密码,我有什么保证,您不会阅读我的所有电子邮件,甚至发送一些自己的电子邮件?如果你变得更聪明并且说'人们重复使用密码,我也可以尝试这个密码适用于他的银行账户'.
作为用户,我不相信您的网站使用我的密码.期.
Open Id和OAuth(这就是RPX使用的)的重点是解决上述问题.我可以为您的网站提供限制,可撤销和可配置的访问我的Facebook帐户,所有这些都不会给您的网站我的Facebook密码.
用户界面令人困惑,我同意.但随着时间的推移,人们会明白它的全部意义,而且会更好.
京公网安备 11010802040832号 | 京ICP备19059560号-6 