说明:此为06年11月写的旧文,还没在CSDN发过,补发一下。
听说今年的网志年会上有一个讨论OpenID的专题。对于网站的身份验证问题不算一个新话题,自从当年MS推出并热炒passport的时候就已经开始了。即使是OpenID也出来有一阵子了。
不过我是看了前一段ZOLA对OpenID的大力推广之后,才开始去了解这个技术。虽然OpenID有自己很大的优势,但同样存在着一些目前不可克服的困难。
首先简单地把目前的身份验证手段分为三类:
1、集成验证。就是现在大多数网站所采用的方式,你要在这个网站访问,就要在这个网站注册一个用户,并且以这个用户身份登录。
2、第三方验证。如MS的Passport。服务提供网站不记录用户身份,而是通过向第三方(如MS)提请验证用户的身份。
3、 分布式验证。以OpenID为例,它的验证过程要麻烦一些:用户以一个URL作为身份标识,这个URL所指向的页面包含了用户所选择的验证服务器 (YADIS),当用户以这个URL登录服务提供网站时,网站从这个URL取得YADIS信息,然后转向YADIS网站,用户在YADIS网站输入密码以 确认身份后,最后反馈到最初的服务提供网站。
第一类验证的优点是简单方便,并且对于网站来说,可以独占用户资源。但缺点也是很明显的:对于 用户来说,要记住自己在每个网站上的用户名和密码并不是一件容易的事——因为难免碰到用户名重复的情况而不得不改变自己的用户名,或是不放心网站的用户资 料管理而在不同网站用不同的密码。
第二类验证提供了一个统一的验证渠道,对于用户来说方便很多,而且由MS这样的大公司提供验证服务也感觉 比较有保障。但对于网站来说就损失了