¿Puede mi sitio web * de forma segura * permitir los inicios de sesión a través de Facebook Connect, Google Friend Connect, OpenID, * y * etc.?

votos
2

¿Es posible que un sitio web permita a los usuarios iniciar sesión a través de múltiples métodos diferentes, como Facebook Connect, OpenID, etc.?

No hace referencia a los inicios de sesión simultáneos del mismo usuario, pero se pregunta si es posible tener múltiples opciones de SSO.

¿Hay algún efecto secundario de un usuario con credenciales en, por ejemplo, OpenID y Facebook al iniciar sesión como ambos, con información de sesión separada, y jugar o engañar al sistema de alguna manera?

¿Es esa la razón principal para ofrecer solo uno? ¿Hay otras razones?

ACTUALIZACIÓN: En un esfuerzo por aclarar un poco, debo decir que nos gustaría utilizar Facebook Connect, pero no todos nuestros usuarios esperados tienen una cuenta de Facebook. Lo mismo que con OpenID, etc. hacer tener la necesidad de vincular las acciones del usuario a un particular 'cuenta' local, lo que obviamente sería sincronizado con cualquier proveedor de auth-solían conectarse (o atar en adelante, al igual que con SO), pero me gustaría ofrecer la mayor comodidad posible.

Tal vez deberíamos hacer en casa?

Publicado el 23/06/2009 a las 20:29
fuente por usuario
En otros idiomas...                            
2 respuestas
votos
1

Sugiero seguir todas las formas de autenticación a una cuenta. De acuerdo, esto solo se puede hacer si el usuario lo hace. Pero míralo de esta manera. ¡No hay nada que impida que una persona configure múltiples cuentas en un sistema de autenticación personalizado y realice los mismos "juegos" que elegir usar varias cuentas similares a OpenID para hacer lo mismo! El uso de estas formas de autenticación junto con un sistema de seguimiento interno personalizado es un buen camino a seguir y realmente no presenta ninguna nueva complejidad con respecto a la seguridad que no tendría con un sistema de inicio de sesión interno. Simplemente agrega más factores de conveniencia para sus usuarios (a expensas de más codificación para usted ... pero ¿no es siempre así? (: P)).

Respondida el 23/06/2009 a las 20:32
fuente por usuario
votos
1

Mis planes para hacer esto es hacer que cada proveedor de SSO pueda mapear desde la cuenta de SSO a una identificación de usuario local. Podrá asignar múltiples cuentas de SSO a una sola cuenta local. Todo esto está escondido cuidadosamente detrás de una interfaz, probablemente usando el patrón de Cadena de mando.

Deberías mirar usando RPX . Manejan todo esto por ti y permiten Facebook, OpenId, Windows Live Id y más. El resultado es transparente para usted; solo obtiene un token opaco para representar el ID.

Respondida el 23/06/2009 a las 21:53
fuente por usuario
Preguntas relacionadas
¿Autenticación OpenID en ASP.NET?
¿Cómo genera Google sus tokens claim_id de OpenID?
Cómo automatizar entrada vía OpenID con un dominio de Google Apps utilizando DotNetOpenAuth
La evaluación de estado de inicio de sesión para cada solicitud cuando autenticada usando OpenID, OAuth y / o OAuth 2.0
retornos de autenticación OpenID OmniAuth Ninguna En user_info
openid.return_to Google OpenID
Enviar usuario / pasar a través de mensaje el ID abierto
declaración de espacio para la extensión http://openid.net/sreg/1.0 DEBE ser firmado
Conseguir "Realm No se han encontrado redirect_uri / origen Código de error: 2"
OpenID URL llamando a la autorización con aviso = ninguno devolver resultados incorrectos
Cookies help us deliver our services. By using our services, you agree to our use of cookies. Learn more