Czy jest to zła praktyka, aby nie umożliwić użytkownikom tworzenia konta (w porównaniu z OAuth lub OpenId)?

1. Czy powinienem użyć OAuth lub OpenId Connect?
2. Dlaczego OAuth jest zły na uwierzytelnianie?
3. Jakie jest ryzyko korzystania z OpenId Connect?
4. Czy aplikacja OpenId jest szkodliwa?

Czy powinienem użyć OAuth lub OpenId Connect?

OpenID służy do uwierzytelniania, podczas gdy OAuth jest używany do autoryzacji. Jeśli uwierzytelnianie jest głównym celem, nie ma lepszej metody niż x. 509 certyfikatów cyfrowych.

Dlaczego OAuth jest zły na uwierzytelnianie?

Problem wynika z OAuth 2.0 System nie ma poważnego mechanizmu weryfikacji, umożliwiając w ten sposób prawie każdemu zarejestrowanie aplikacji u dostawcy. Po zarejestrowaniu aplikacja może użyć OAuth 2.0 Uwierzytelnianie/mechanizm autoryzacji do żądania dostępu do danych użytkownika.

Jakie jest ryzyko korzystania z OpenId Connect?

Wyłudzanie informacji. Istnieją dwa powszechne ataki phishingowe w ekosystemie otwartym. Strona Phished OP - Rogue RP może przekierować użytkownika na stronę Phished OP, na której użytkownik zostanie oszukany do wprowadzenia poświadczeń OP. SPOOFING KRÓTKI - złośliwe RP może stworzyć żądanie uwierzytelniania za pomocą OpenID.

Czy aplikacja OpenId jest szkodliwa?

W przypadku OpenID twoje hasło jest przekazywane tylko dostawcy tożsamości, a następnie dostawca potwierdza tożsamość odwiedzanych stron internetowych. Oprócz dostawcy, żadna strona internetowa nigdy nie widzi hasła, więc nie musisz się martwić o pozbawioną skrupułów lub niepewną witrynę zagrażającą Twojej tożsamości.