Adakah amalan buruk untuk tidak membenarkan pengguna membuat akaun (berbanding OAuth atau OpenID)?

1. Sekiranya saya menggunakan OAuth atau OpenID Connect?
2. Mengapa OAuth tidak baik untuk pengesahan?
3. Apakah risiko menggunakan OpenID Connect?
4. Adakah aplikasi OpenID berbahaya?

Sekiranya saya menggunakan OAuth atau OpenID Connect?

OpenID digunakan untuk pengesahan sementara OAuth digunakan untuk kebenaran. Sekiranya pengesahan adalah matlamat utama, tidak ada kaedah yang lebih baik daripada x. 509 Sijil Digital.

Mengapa OAuth tidak baik untuk pengesahan?

Masalahnya berpunca dari oauth 2.0 Sistem tidak mempunyai mekanisme pengesahan yang serius, dengan itu membolehkan hampir semua orang mendaftarkan aplikasi dengan pembekal. Setelah berdaftar, aplikasinya boleh menggunakan oauth 2.0 mekanisme pengesahan/kebenaran untuk meminta akses yang disetujui ke data pengguna.

Apakah risiko menggunakan OpenID Connect?

Phishing. Terdapat dua serangan phishing biasa dalam ekosistem terbuka. Halaman Op Phished - RP Rogue boleh mengalihkan pengguna ke halaman OP phished di mana pengguna akan ditipu untuk memasukkan kelayakan OP mereka. Spoofing Realm - RP yang berniat jahat boleh membuat permintaan pengesahan dengan OpenID.

Adakah aplikasi OpenID berbahaya?

Dengan OpenID, kata laluan anda hanya diberikan kepada penyedia identiti anda, dan pembekal itu kemudian mengesahkan identiti anda ke laman web yang anda lawati. Selain daripada pembekal anda, tiada laman web yang pernah melihat kata laluan anda, jadi anda tidak perlu bimbang tentang laman web yang tidak bertanggungjawab atau tidak selamat yang menjejaskan identiti anda.