我正在考虑将OpenID添加到面向客户的管理和控制面板区域...

1将OpenID与现有帐户相关联

对于已经在我们这里拥有帐户的客户，我认为他们需要使用我们发行的现有帐户登录，然后我可以使用一种机制将其OpenID与该帐户在其帐户管理区域中关联(称为" OpenID Manager")。

在" OpenID管理器"中，假设用户已经具有一个OpenID，我是否可以根据他们的OpenID对用户进行身份验证，然后将其与我们生成的帐号关联以用于将来的OpenID登录(假设他们已通过身份验证)？

2敏感数据

尽管我们没有在数据库中存储完整的信用卡数据，但是还有其他敏感数据，发票，域注册详细信息等。阅读本文后，http：//idcorner.org/2007/08/22/the-problems- with-openid /我对以这种方式使用OpenID的想法持谨慎态度，与大家的普遍共识是什么？

解决方案

我允许使用一个特定帐户注册多个OpenID。这是一个很好的功能，因为它允许用户在需要时在OpenID之间迁移。

就是说，idcorner链接提出了一个很好的观点。我认为他极大地夸大了安全性问题，并对OpenID提供程序的工作方式做出了许多愚蠢的假设，但是OpenID并不是要取代所有形式的用户身份验证。它的设计目的是使"偷渡"用户可以轻松地通过某种形式的基本身份验证与站点进行交互。

• 曾经去过某人的博客，想发表评论，但是首先我们必须完成3页的注册？ OpenID解决了这个问题。
• 是否想在公共跟踪器上发布快速的错误报告，但首先需要一个帐户？ OpenID来解救。
• 是否想以可通过Web访问的方式存储敏感的专有数据，并仅向受信任的人提供访问权限？ OpenID不是解决方案。

在我看来，许多反对OpenID的论点或者是出于无知，或者是出于残忍之手。

例如，我们链接到的文档抱怨使用URI标识自己是"令人反感的，而且有点吓人"。这是合法的投诉，还是有人迫切希望找到可抱怨的事情写的东西？

提出的两个主要问题是网络钓鱼和帐户被盗用，这些争论已经被重复了很多次，如果再次提出来却又没有提出新的观点，很难有人认真对待。

网络钓鱼保护取决于提供商。一些提供商提供的安全性比典型的网站要好得多。一些提供商仅提供典型的用户名和密码。无论哪种方式，如果帐户被盗，那都是用户与其提供者之间的事情，这与我们无关。我们不必担心最终用户的计算机上安装了键盘记录程序，对吗？这是因为，即使可以使用本地安全来获取对他们帐户的访问权限，也不由他们负责。同样，对于OpenID，其安全也不是责任。

如果我们破坏了OpenID，则可以访问多个网站。可以，但是电子邮件也是如此。只需说我们忘记了密码，就会收到一个新密码。现在，我们可以访问他们在该电子邮件地址注册的每个帐户。

OpenID并不比现状差，并且在许多情况下(特别是对于有经验的用户)要好得多。如果我们仍然对此保持警惕，则只需将其设置为可选，这样只有知情的用户才能使用它。