
Open ID 是个很有意思的东西。它号称是一个分布式的身份认证系统。任何一个网站都可以做一个Identity provider。也就是说,用户只要在一个Identity provider那里注册了,那么在任何一个service provider那里就都可以sso了。具体的说,好比我在openid.cn注册了一个id,再如果天下所有的网站、论坛、blog都支持openid登录,那么我再也不用在任何地方注册第二次了。其实跟windows live id差不多,不过WLID必须微软来管,open id谁都可以做用户认证管理的。比如我就注册了一个id是:http://shawnma.openid.cn
然后网上就有很多的debate,基本上来说,就是这个东西非常不安全。
Eugene and Vlad Tsyrklevitch发表了一个白皮书,论证了这个东西是如何的有缺陷。
Stefan Brands发表了一个巨长的blog,来批判Open ID。
David Recordon就声称Open ID 2.0会解决这些所有问题。
Bob Blakley就开始问,Open ID到底要解决什么问题?他看起来Open ID是先有解决方案,再来寻找problem -_-
Mike Neuenschwander说,Open ID缺少一个Trust model。
嗯,看起来都挺有意思的。其实用的技术也都很老了……