根据我对OpenID的经验，我看到了许多重大缺点：

向站点添加单点故障
即使检测到故障，也不是可以由站点修复的故障。如果OpenID提供者关闭了三天，那么该网站必须具有什么资源才能允许其用户登录并访问他们拥有的信息？

将用户带到另一个站点的内容，以及他们每次登录到站点时
即使OpenID提供程序没有错误，也会将用户重定向到其站点进行登录。登录页面包含内容和链接。因此，实际上有可能将用户从站点吸引到互联网兔子洞中。

我为什么要将用户发送到另一家公司的网站？
[注意：我的提供者不再这样做，并且似乎已经解决了此问题(暂时)。]

为注册增加了不小的时间
要注册该站点，新用户必须阅读新标准，选择提供商并进行注册。标准是技术人员应同意的，以使用户体验顺畅。它们不是应该强加给用户的东西。

这是网络钓鱼者的梦想
OpenID非常不安全，在他们登录时窃取该人的ID非常容易。 [摘自下面的大卫·阿诺的答案]

对于所有不利方面，一个不利之处是允许用户在Internet上的登录次数更少。如果网站选择启用OpenID，则需要该功能的用户可以使用它。

我想了解的是：
网站将OpenID强制设置有什么好处？

解决方案

回答

这是外包部分基础架构的好方法。我们不必担心密码丢失等问题，其他人会为我们完成。

不过，我不确定我是否会专门使用它。我还没有足够地使用OpenID来完全信任它，因此需要简化注册过程，直到90％以上的用户拥有OpenID。

回答

给站点故障增加了关键点

失败的关键点可能是我们发送的确认电子邮件，但用户的邮箱是a)由于输入错误而无法使用，b)完整或者c)提供者已"关闭"。

将用户带到另一个站点的内容，以及他们每次登录到站点时

我可以看到，但是恕我直言，这还不错。我的意思是，Y！似乎是最混乱的登录名之一，它对我也永远无效。 ;)另外，大多数OpenID提供程序看起来还不错(尚未)。

另外，请紧记听众。如果mom和pop是用户，则OpenID可能会令人困惑。但是互联网上可能很多。在SO的情况下，人们是一些精明的用户，并且知道他们想要什么。

将非试用时间添加到注册中

这不是问题。查看提供商列表：
http://openid.net/get/

如此多的人至少拥有Yahoo!帐户，因此它是否确实有效。不会那么糟。我同意，但是，如果用户没有OpenID，并且不知道它的用途。教育他们不是那么容易。

考虑一下"要在站点A上注册，我们需要在站点B上注册"的含义。我们都知道，注册本身是一件痛苦的事。但是从长远来看，这也是OpenID试图解决的问题。

在主流中，我目前认为使OpenID成为强制性没有任何价值。我喜欢它作为添加组件。就像人们提供链接到"使用Facebook登录"等的方式一样。然后，不了解(或者不关心)该信息的人就无需打扰。但是其他人仍然可以使用它。

回答

强制使用OpenID的好处是，无需为网站登录代码(除了OpenID集成)，并且无需采取任何措施来存储用户密码等。

没有自己的登录代码也意味着不必处理很多支持问题，例如重置丢失的密码等。

当然，大多数缺点都是正确的，因此我认为这是一个折衷方案。

令我感到惊讶的是，没有更多的网站与特定的OpenID提供者建立紧密的关系，从而简化了帐户注册阶段，即"我们可以使用任何喜欢的OpenID，但我们现在也可以通过输入用户名来创建一个和密码等登录页面，该页面会自动为我们选择一个提供者的新帐户。

回答

它鼓励用户注册OpenID，了解更多有关OpenID的信息，并希望自己进行传播。

堆栈溢出证明仅支持OpenID即可起作用。

"Adds critical point to failure to the site"

如果OpenID提供程序无法正常工作，则该站点应具有允许用户登录和添加/更改OpenID提供程序的机制。也许该网站可以通过电子邮件发送一个临时链接来绕过安全性，以便用户可以访问其帐户。

"Takes a user to another sites content and every time they logon to your site"

我的OpenID提供程序使我可以信任给定的网站，因此我什至无需查看他们的网站。

"Adds a non-trial amount of time to the signup"

支持OpenID的站点越多，问题就越少。

回答

Adds a critical point to failure to the site

关于Stackoverflow的uservoice的第三大想法是允许更改OpenID提供程序。在注释中，建议允许关联比OpenID更多的关联。在通常的OpenID提供程序已关闭的情况下，可以将多个OpenID与一个帐户关联的网站上，我们仍然可以使用其他提供程序登录(假设我们已经将其与该网站相关联)。

而且，对于无法使用OpenID提供程序的用户来说，这只是一个关键的故障点。其他OpenID提供程序上的所有其他用户都可以继续对其进行记录。随着时间的流逝，我们希望用户会迁移到最可靠的提供商。

Takes a user to another sites content and every time they logon to your site

如果我们已将OpenID提供程序设置为始终信任站点(或者命名法中的OpenID使用者)，并且已经登录到OpenID提供程序，则他们将直接将我们重定向回该站点，甚至不会看到OpenID提供程序站点。

Adds a non-trial amount of time to the signup

目前，这可能是正确的，但是正如安迪克所说，"支持OpenID的站点越多，这就越不会成为问题"。我希望在几年后，大多数用户已经有了一个OpenID，并且知道它是什么。

回答

作为Web开发人员，我非常支持OpenID的想法。编写Auth代码非常麻烦。作为网络用户，我非常喜欢OpenID用于SO，论坛等非关键用途，因为一旦获得ID，这就是加入站点的一种非常简单的方法。

我认为，除了像当前针对开发人员的社区这样的少数例外，我们不能仅强制使用OpenID。 "普通"网络用户(无论如何)都无法理解。但是，在这样的网站上推广它可以提高开发人员的知名度，并且这个想法最终会逐渐传开。随着OpenID出现在越来越多的网站上，人们将对其进行查看，意识到自己拥有一个，然后开始使用它。为了使OpenID成为一个不错的主意，需要有大量支持它的用户和站点。

最终，这将仅仅是"它的样子"，我们想知道为什么我们曾经为制作的每个网站都创建了身份验证代码，或者为什么我们在访问Web的每个地方都将创建唯一的身份

回答

还有一件事要提。我们已经有一个具有OpenID的用户库，他们只需要登录即可。

回答

自切成薄片以来，OpenID可能是最伟大的事情，但是除了Jeff Atwood / Joel Spolsky让我这样做以外，我没有理由以我的身份信任"他们"，以便在这里抱怨它;-)

回答

缺点清单中没有最明显的缺点：这是钓鱼者的梦想。 OpenID非常不安全，在他们登录时窃取该人的ID非常容易。

马特·谢泼德(Matt Sheppard)的答案令人震惊：仅使用OpenID的好处在于，无需创建用户名和密码，也不需要用户帐户创建代码，因此对网站创建者的麻烦较少。

回答

从长远来看，拥有OpenID的主要好处。不必一次申请其他站点的标识，只需执行一次，然后在需要唯一标识的所有站点上使用它。当然，对于银行和交易等安全站点，将需要完全不同的思考方式。但是对于社交网站等，我们可以轻松使用它。

爸爸妈妈也会发现它很容易，因为现在他们只需要记住一个用户名/密码。很多时候，我们很难记住我们在哪个站点上的登录名，并最终在站点B上使用站点A的正确用户名/密码。OpenID将解决该问题。另外，对于OpenID提供者和用户来说，这是一个很好的收入模型。我可以向一个这样的提供者输入我愿意提供的所有详细信息，而我给出的每个此类详细信息都可以赚钱。

也许提供者可以通过诱使我诱使我告诉我更多有关自己的信息，然后可以将其出售给我注册的网站。因此，站点A为我的信息支付了OpenID。然后，OpenID将其中的一部分传递给我。站点A不必管理用户，OpenID可以赚钱，用户可以赚钱，每个人都很高兴:)

这样，我们就不必强制使用OpenID。人们自己会想要它。然后，OpenID提供程序将相互竞争以提供更好的服务，并且在存在竞争的情况下，将为所有相关人员提供更好的价值。我认为这是个很棒的主意。

编辑：
关于特定提供商的停机时间；如果OpenID提供程序A无法确定要提供100％的正常运行时间，则可以寻求其他提供程序B的帮助，并且提供程序A上的用户可以从提供程序A提供的选项中进行选择。如果提供商A无法正常工作，则要通过提供商A进行用户身份验证的站点将知道要访问哪个其他提供商。这将在首次登录时自动存储在其数据库中。
有人想集思广益实施细节吗？ :)

回答

从工程的角度来看，仅使用OpenID的最大好处之一是，抽象出凭据身份验证段使用户可以选择比我们为站点构建的方法复杂得多的身份验证方法。是的，某些OpenID提供程序很容易被盗用。另一方面，其他OpenID用户使用信息卡，硬件令牌或者电话验证登录，这些是凭据，不能被仿冒者捕获和重放。

正如Gabe Wachob所说：

People who want to innovate in authentication methods [...] do NOT have to be the same people who innovate in offering services on the web (any one of a million folks running Mediawiki, Drupal, etc). That "delinking" of authentication innovation and service innovation is what is valuable in OpenID.

因此，通过使用OpenID，我们可以为用户提供更强大的身份验证方法。该抽象使我们可以实现一个接口，然后我们可以选择任何提供程序一起使用，无论他们使用明文形式的八字符密码还是挑战响应神经植入物。

回答

正如其中一个播客中所讨论的那样，通过怀疑这是否是他们应该发布Yahoo!的地方，它为流浪者进入市场增加了障碍。回答问题。

虽然有点精英，但考虑到本网站的重点，拒绝所有无法弄清Open ID流程的人还是可以接受的，任何真正有疑问的人都可以通过任何方法来解决。有点困难。

回答

我赞成OpenID，主要是从易于使用的角度出发。我仍然对它的安全性充满信心，但是它具有很大的潜力。关于这一点，有很多事情可以说，但是我只想回应以下两点：

Adds a non-trivial amount of time to
  the signup

只是第一次安装。而且，随着像Yahoo这样的公司现在提供支持，如果不想，许多人甚至不必费心设置OpenID。如果我们使用Google或者类似的人作为OpenID提供者，我们会认为它们本质上是不安全的吗？我们希望他们多久停机一次？

It is a Phisher's Dream

我接受这可能部分正确。但是，网络钓鱼不是只属于技术问题，而是一种社会问题？ OpenID可以使其变得更容易，但这并不能消除真正的问题是用户这一事实。让用户了解网络钓鱼者的工作方式比通过技术来安全保护其重要得多。

回答

至少OpenID会将我们发送到OpenID提供者进行登录。
我正在阅读Blogspot上的博客，并且有一个跟随该博客的链接(大概有新帖子时告诉我)来执行此操作，它会弹出一个框，询问我的Gmail用户名和密码。

即使假设这是真实的而不是钓鱼网站，他们现在(potentailly)也可以登录到我的Gmail，我的Google文档，我的Google应用程序！

回答

根据我对OpenID的经验，我看到了许多重要的优点：

如果我们选择使用可信任的OpenID提供程序登录，例如。我们可以使用Verisign PIP + VIP享受带外SecureID身份验证机制的好处。这应被视为胜过所有其他方面的主要好处。我们不再信任所访问的站点上基于任何令人讨厌的基于表单的身份验证，信任Verisign VIP或者我们选择的OpenID提供程序。

上网兔子洞？听起来执行起来很糟糕，我还不知道我们指的是什么。

我们不能轻易窃取身份验证详细信息，它比我们已经拥有的身份更接近不可能！我们也许可以欺骗我，使我认为我正在联系我的提供商，但是Verisign可以选择不允许或者接受重定向。我认为这些网络钓鱼问题也很琐碎，尤其是如果我们将其与可以通过OpenID身份验证提供程序获得的带外身份验证机制的好处进行权衡的话，这一点同样重要。因此，假设我们一次篡改了RSA密钥详细信息，那么下一次将无效，或者如果我们说使用浏览器证书，则可能完全没用。

总而言之，OpenID只是当前系统的演进，是要验证的电子邮件地址。如果电子邮件帐户是我们当前的单点故障，那么可以，在我们控制的OpenID不再受我们控制的情况下，OpenID可能是新的单点故障。因此，如果我们仅信任电子邮件服务器，则只需托管自己的OpenID URL。如果我们信任Gmail，请使用gmail URL作为OpenID，因为同样的道理，我们已经信任Gmail作为SSO，因为gmail帐户最终可以检索帐户密码。

没关系，但是我可以看到有些人可能很难理解身份验证机制的基本概念。如果我可以使用我的SecureID卡(通过我的OpenID提供程序)登录到我拥有帐户的网站，则可以。因此，如果这是唯一的选择，我会接受！