openid什么意思

當(dāng)我們想要使用網(wǎng)站的功能時(shí)，通常需要注冊(cè)我們想要使用的帳戶。所有網(wǎng)站都使用同一個(gè)用戶名和密碼，可以解決賬號(hào)管理的問題，但也增加了賬號(hào)密碼泄露的風(fēng)險(xiǎn)。

雖然現(xiàn)在的網(wǎng)站提供短信驗(yàn)證碼登錄技術(shù)，但是我們要講一個(gè)“老”技術(shù)，——openid，看看以前的技術(shù)是如何解決密碼太多不方便管理的問題的。

基本概念

在正式介紹openid之前，先熟悉以下基本概念。

認(rèn)證：身份識(shí)別，簡(jiǎn)稱認(rèn)證，簡(jiǎn)單來說就是如何識(shí)別你是某人；

authorizationserver/identity provider:負(fù)責(zé)認(rèn)證的服務(wù)稱為授*服務(wù)器或身份提供者(idp簡(jiǎn)稱)；

authorisation:資源訪問，簡(jiǎn)稱授*，就是簡(jiǎn)單的給某人一定的權(quán)限；

服務(wù)提供者/資源服務(wù)器：負(fù)責(zé)提供資源的服務(wù)(api調(diào)用)稱為資源服務(wù)器或服務(wù)提供者，簡(jiǎn)稱sp

與openid相關(guān)的幾個(gè)概念

用戶：網(wǎng)站訪問者操作的瀏覽器

rp:依賴方；服務(wù)提供商是用戶想要訪問的網(wǎng)站。

op:openid提供者；openid提供者是提供openid注冊(cè)的服務(wù)提供者。

openid簡(jiǎn)介

openid是由livejournal和sixapart開發(fā)的一套身份驗(yàn)證系統(tǒng)。這是一個(gè)以用戶為中心的數(shù)字識(shí)別框架，它是開放的、分散的和免費(fèi)的。

openid的創(chuàng)建是基于這樣一個(gè)概念，即我們可以通過uri認(rèn)證一個(gè)網(wǎng)站的唯*身份(也稱為網(wǎng)址或網(wǎng)址)。同樣，我們也可以通過這種方式認(rèn)證用戶的身份。不基于申請(qǐng)網(wǎng)站的注冊(cè)程序，不限于單個(gè)網(wǎng)站的登錄和使用。openid賬號(hào)可以在openid應(yīng)用網(wǎng)站使用，避免了多次注冊(cè)和填寫身份信息的繁瑣過程。簡(jiǎn)單來說，openid是一個(gè)以用戶為中心的分布式認(rèn)證系統(tǒng)。用戶只需要注冊(cè)就可以獲得openid，然后就可以用這個(gè)openid賬號(hào)在多個(gè)網(wǎng)站之間自由登錄使用，而不必為每個(gè)網(wǎng)站注冊(cè)一個(gè)賬號(hào)。

openid的工作流程

假設(shè)你已經(jīng)在網(wǎng)站a上注冊(cè)了openid賬號(hào)(網(wǎng)站a是op角色)，網(wǎng)站b(網(wǎng)站b是rp角色)支持openid賬號(hào)登錄，并且你從未登錄過。這時(shí)，當(dāng)你在b網(wǎng)站對(duì)應(yīng)的登錄界面輸入你的openid賬號(hào)進(jìn)行登錄時(shí)，瀏覽器會(huì)自動(dòng)轉(zhuǎn)到a網(wǎng)站的一個(gè)頁面進(jìn)行認(rèn)證。此時(shí)，您只需輸入在a網(wǎng)站注冊(cè)時(shí)提供的密碼即可登錄a網(wǎng)站，在對(duì)b網(wǎng)站進(jìn)行驗(yàn)證和管理(長(zhǎng)期允許、只允許一次或不允許)后，頁面將自動(dòng)轉(zhuǎn)移到b網(wǎng)站。如果選擇允許，就登陸b網(wǎng)站。這時(shí)候你就可以實(shí)現(xiàn)b網(wǎng)站的所有功能作為你的openid賬號(hào)了。

上面描述了網(wǎng)站b使用網(wǎng)站a提供的openid登錄，你也可以使用這個(gè)openid登錄其他支持openid的網(wǎng)站。

openid的獲取流程

首先，用戶選擇一個(gè)openid服務(wù)提供商注冊(cè)一個(gè)openid帳戶(就像傳統(tǒng)的網(wǎng)站注冊(cè)一樣)。注冊(cè)后，用戶得到一個(gè)openid url，比如http:/collinye.openid.com，可以簡(jiǎn)單理解為一個(gè)用戶名。

訪問支持openid的網(wǎng)站。登錄時(shí)，輸入您的openid url。通常這個(gè)登錄頁面的輸入框會(huì)標(biāo)上如上圖的openid，然后登錄即可。

之后會(huì)跳轉(zhuǎn)到你的openid服務(wù)商網(wǎng)站，要求你輸入注冊(cè)時(shí)填寫的密碼。密碼驗(yàn)證后，系統(tǒng)會(huì)詢問您是否允許網(wǎng)站使用您的openid登錄。許可后會(huì)跳回原網(wǎng)站，顯示登錄成功，然后你就可以作為注冊(cè)人訪問網(wǎng)站了。

認(rèn)證流程

比較終用戶請(qǐng)求登錄rp網(wǎng)站，用戶選擇openid登錄。

rp向比較終用戶返回openid的登錄界面；

用戶輸入openid，rp網(wǎng)站標(biāo)準(zhǔn)化用戶的openid。這個(gè)過程比較復(fù)雜，因?yàn)閛penid可能是uri或者xri，所以標(biāo)準(zhǔn)化的方法不一樣。

rp和op相連；

rp請(qǐng)求op檢查用戶身份，op檢查用戶登錄。如果用戶尚未登錄，請(qǐng)要求用戶進(jìn)行登錄身份驗(yàn)證。

用戶登錄op，登錄后查看rp請(qǐng)求什么信息。如果沒有資料，填寫(http://www . sina.com/)；

op將登錄結(jié)果返回給rp，rp對(duì)op的結(jié)果進(jìn)行分析，rp分析后，如果用戶合法，則返回用戶已經(jīng)成功登錄，可以使用rp服務(wù)。

openid優(yōu)缺點(diǎn)

openid主要負(fù)責(zé)認(rèn)真，用戶登陸注冊(cè)可能還需要其他必要信息，可以在這個(gè)步驟補(bǔ)全

優(yōu)點(diǎn)

簡(jiǎn)化注冊(cè)和登錄流程：一定程度上避免了重復(fù)注冊(cè)和填寫身份信息的繁瑣過程，不需要通過注冊(cè)郵件確認(rèn)，登錄更快。

一次注冊(cè)，無處不在：省去記憶大量賬號(hào)的麻煩，一個(gè)openid可以在支持openid的網(wǎng)站上自由登錄。

降低密碼泄露風(fēng)險(xiǎn)：頻繁登錄各種網(wǎng)站，很容易讓垃圾網(wǎng)站偷偷收集密碼和信息，或者以用戶身份發(fā)送垃圾信息。

用戶擁有賬戶信息的控制權(quán)：根據(jù)網(wǎng)站的信任程度，用戶可以明確控制哪些檔案信息可以共享，如姓名、地址、電話號(hào)碼等。

對(duì)用戶

共享用戶資源給所有支持openid的網(wǎng)站帶來價(jià)值。

相當(dāng)一部分高端注冊(cè)用戶可以直接使用，無需從頭開始；

你不必承擔(dān)構(gòu)建自己的會(huì)員系統(tǒng)或登錄功能所需的開發(fā)成本、機(jī)器、帶寬和安全成本；

用戶數(shù)據(jù)是安全的，用戶數(shù)據(jù)不是統(tǒng)一存儲(chǔ)的，用戶可以隨意選擇和更改存儲(chǔ)的服務(wù)器。沒有組織，地方都無法生根，機(jī)構(gòu)和個(gè)人都無法從中獲利。

劣勢(shì)

人都可以建立一個(gè)網(wǎng)站來提供openid驗(yàn)證服務(wù)，但是網(wǎng)站的性能參差不齊，導(dǎo)致openid驗(yàn)證過程不穩(wěn)定。

如果提供openid認(rèn)證服務(wù)的網(wǎng)站突然關(guān)閉，大量用戶可能無法使用多個(gè)網(wǎng)站的服務(wù)。

目前幾乎所有支持openid的網(wǎng)站都非常謹(jǐn)慎地將其作為可選的輔助登錄方式，這將在很大程度上阻礙openid的發(fā)展。

目前支持openid的網(wǎng)站不多，其獨(dú)特的用法也不為大多數(shù)用戶所熟悉。

密碼安全性降低。只要openid密碼泄露，幾乎所有網(wǎng)站都會(huì)泄露。這對(duì)應(yīng)的是“一個(gè)登記，處處用”，即“一漏，處處漏”。

openid并不是真正的開放。很多網(wǎng)站表面上都支持openid。其實(shí)他們不斷騷擾openid用戶，在自己的網(wǎng)站上注冊(cè)賬號(hào)，在背后暗中沉淀openid用戶。所以，目前開放集團(tuán)內(nèi)部各子公司的用戶系統(tǒng)，openid還是可行的，對(duì)于是否對(duì)外公司使用openid，要慎重。