openid什么意思

當我們想要使用網(wǎng)站的功能時，通常需要注冊我們想要使用的帳戶。所有網(wǎng)站都使用同一個用戶名和密碼，可以解決賬號管理的問題，但也增加了賬號密碼泄露的風險。

雖然現(xiàn)在的網(wǎng)站提供短信驗證碼登錄技術(shù)，但是我們要講一個“老”技術(shù)，——openid，看看以前的技術(shù)是如何解決密碼太多不方便管理的問題的。

基本概念

在正式介紹openid之前，先熟悉以下基本概念。

認證：身份識別，簡稱認證，簡單來說就是如何識別你是某人；

authorizationserver/identity provider:負責認證的服務稱為授*服務器或身份提供者(idp簡稱)；

authorisation:資源訪問，簡稱授*，就是簡單的給某人一定的權(quán)限；

服務提供者/資源服務器：負責提供資源的服務(api調(diào)用)稱為資源服務器或服務提供者，簡稱sp

與openid相關的幾個概念

用戶：網(wǎng)站訪問者操作的瀏覽器

rp:依賴方；服務提供商是用戶想要訪問的網(wǎng)站。

op:openid提供者；openid提供者是提供openid注冊的服務提供者。

openid簡介

openid是由livejournal和sixapart開發(fā)的一套身份驗證系統(tǒng)。這是一個以用戶為中心的數(shù)字識別框架，它是開放的、分散的和免費的。

openid的創(chuàng)建是基于這樣一個概念，即我們可以通過uri認證一個網(wǎng)站的唯*身份(也稱為網(wǎng)址或網(wǎng)址)。同樣，我們也可以通過這種方式認證用戶的身份。不基于申請網(wǎng)站的注冊程序，不限于單個網(wǎng)站的登錄和使用。openid賬號可以在openid應用網(wǎng)站使用，避免了多次注冊和填寫身份信息的繁瑣過程。簡單來說，openid是一個以用戶為中心的分布式認證系統(tǒng)。用戶只需要注冊就可以獲得openid，然后就可以用這個openid賬號在多個網(wǎng)站之間自由登錄使用，而不必為每個網(wǎng)站注冊一個賬號。

openid的工作流程

假設你已經(jīng)在網(wǎng)站a上注冊了openid賬號(網(wǎng)站a是op角色)，網(wǎng)站b(網(wǎng)站b是rp角色)支持openid賬號登錄，并且你從未登錄過。這時，當你在b網(wǎng)站對應的登錄界面輸入你的openid賬號進行登錄時，瀏覽器會自動轉(zhuǎn)到a網(wǎng)站的一個頁面進行認證。此時，您只需輸入在a網(wǎng)站注冊時提供的密碼即可登錄a網(wǎng)站，在對b網(wǎng)站進行驗證和管理(長期允許、只允許一次或不允許)后，頁面將自動轉(zhuǎn)移到b網(wǎng)站。如果選擇允許，就登陸b網(wǎng)站。這時候你就可以實現(xiàn)b網(wǎng)站的所有功能作為你的openid賬號了。

上面描述了網(wǎng)站b使用網(wǎng)站a提供的openid登錄，你也可以使用這個openid登錄其他支持openid的網(wǎng)站。

openid的獲取流程

首先，用戶選擇一個openid服務提供商注冊一個openid帳戶(就像傳統(tǒng)的網(wǎng)站注冊一樣)。注冊后，用戶得到一個openid url，比如http:/collinye.openid.com，可以簡單理解為一個用戶名。

訪問支持openid的網(wǎng)站。登錄時，輸入您的openid url。通常這個登錄頁面的輸入框會標上如上圖的openid，然后登錄即可。

之后會跳轉(zhuǎn)到你的openid服務商網(wǎng)站，要求你輸入注冊時填寫的密碼。密碼驗證后，系統(tǒng)會詢問您是否允許網(wǎng)站使用您的openid登錄。許可后會跳回原網(wǎng)站，顯示登錄成功，然后你就可以作為注冊人訪問網(wǎng)站了。

認證流程

比較終用戶請求登錄rp網(wǎng)站，用戶選擇openid登錄。

rp向比較終用戶返回openid的登錄界面；

用戶輸入openid，rp網(wǎng)站標準化用戶的openid。這個過程比較復雜，因為openid可能是uri或者xri，所以標準化的方法不一樣。

rp和op相連；

rp請求op檢查用戶身份，op檢查用戶登錄。如果用戶尚未登錄，請要求用戶進行登錄身份驗證。

用戶登錄op，登錄后查看rp請求什么信息。如果沒有資料，填寫(http://www . sina.com/)；

op將登錄結(jié)果返回給rp，rp對op的結(jié)果進行分析，rp分析后，如果用戶合法，則返回用戶已經(jīng)成功登錄，可以使用rp服務。

openid優(yōu)缺點

openid主要負責認真，用戶登陸注冊可能還需要其他必要信息，可以在這個步驟補全

優(yōu)點

簡化注冊和登錄流程：一定程度上避免了重復注冊和填寫身份信息的繁瑣過程，不需要通過注冊郵件確認，登錄更快。

一次注冊，無處不在：省去記憶大量賬號的麻煩，一個openid可以在支持openid的網(wǎng)站上自由登錄。

降低密碼泄露風險：頻繁登錄各種網(wǎng)站，很容易讓垃圾網(wǎng)站偷偷收集密碼和信息，或者以用戶身份發(fā)送垃圾信息。

用戶擁有賬戶信息的控制權(quán)：根據(jù)網(wǎng)站的信任程度，用戶可以明確控制哪些檔案信息可以共享，如姓名、地址、電話號碼等。

對用戶

共享用戶資源給所有支持openid的網(wǎng)站帶來價值。

相當一部分高端注冊用戶可以直接使用，無需從頭開始；

你不必承擔構(gòu)建自己的會員系統(tǒng)或登錄功能所需的開發(fā)成本、機器、帶寬和安全成本；

用戶數(shù)據(jù)是安全的，用戶數(shù)據(jù)不是統(tǒng)一存儲的，用戶可以隨意選擇和更改存儲的服務器。沒有組織，地方都無法生根，機構(gòu)和個人都無法從中獲利。

劣勢

人都可以建立一個網(wǎng)站來提供openid驗證服務，但是網(wǎng)站的性能參差不齊，導致openid驗證過程不穩(wěn)定。

如果提供openid認證服務的網(wǎng)站突然關閉，大量用戶可能無法使用多個網(wǎng)站的服務。

目前幾乎所有支持openid的網(wǎng)站都非常謹慎地將其作為可選的輔助登錄方式，這將在很大程度上阻礙openid的發(fā)展。

目前支持openid的網(wǎng)站不多，其獨特的用法也不為大多數(shù)用戶所熟悉。

密碼安全性降低。只要openid密碼泄露，幾乎所有網(wǎng)站都會泄露。這對應的是“一個登記，處處用”，即“一漏，處處漏”。

openid并不是真正的開放。很多網(wǎng)站表面上都支持openid。其實他們不斷騷擾openid用戶，在自己的網(wǎng)站上注冊賬號，在背后暗中沉淀openid用戶。所以，目前開放集團內(nèi)部各子公司的用戶系統(tǒng)，openid還是可行的，對于是否對外公司使用openid，要慎重。