BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

使用OpenID、OAuth和Facebook Connect武装你的站点

| 作者 胡键 关注 0 他的粉丝 发布于 2009年4月25日. 估计阅读时间: 6 分钟 | GMTC大前端的下一站,PWA、Web框架、Node等最新最热的大前端话题邀你一起共同探讨。

如果你正在盘算着如何为你的新网站创建身份管理系统(通常也称为用户管理系统或权限管理系统)的话,在动手之前你一定要看看Dion Hinchcliffe写的这篇题为《现代Web身份:为什么你的Web应用应该支持OpenID、OAuth,以及可能应该支持Facebook Connect》的文章,你或许会在读完之后改变你的主意。在他看来,使用这些新一代Web身份管理系统是完成这一工作更快的做法,而且功能更强且更好。他认为通过这种方法:

  • 可以更容易、更快捷和更安全地让使用者在你的站点建立他们身份。
  • 可以让业务可以单点登录到你的应用。
  • 把你的站点转变成为一个针对于第三方应用的平台,让这些应用可以安全地访问用户数据。
  • 可以将你的站点或应用集成到使用者及其关系网的社交体验(social experience)中。

在简要回顾企业单点登录和Web身份管理的历史之后,Dion给出了当今实现Web单点登录的新思路:使用OpenIDOAuth和(可选的)Facebook Connect

OpenID

OpenID背后的想法其实很简单:

让使用者在登录你的应用时使用自己选择的身份提供商,而不是让他们去填写一个在线表格,然后把这些信息捕获到使用者不可能信任或不长期信任的私有本地账户中。

由此,OpenID为使用者提供了一种访问新站点更简单的方法(还记得上次为了下载一份资料,而不得不在那个站点上注册一个你自己也知道以后可能再也不会使用的账户么?:))。Dion把OpenID的好处总结为:

  • 更快、更简单的登录,因为消除或简化了注册过程。
  • 更好的登录过程和生命周期,因为用户从此只需使用一个ID和口令。
  • 一致的Web身份,因为ID的统一,让其他人通过这个ID就可将之与实际的用户划上等号。

使用OpenID并不要求使用者有什么改变,事实上,很多使用者很可能本身就已经有了一个OpenID,而他自己却还不知道。看看支持OpenID的提供商列表,开始你的OpenID使用之旅吧。

既然支持OpenID显然会给网站带来更大的流量,那么支持它当然是势在必行。其方式不外乎自己动手实现规范,或利用现成类库两种。这样的类库并不难找,因为目前的主流语言都已经有了相应的OpenID库

值得注意的是,支持OpenID并不意味着站点或应用就放弃了对用户信息的收集,在这种情况下它们依旧可以捕获一些使用者相关的信息,只不过这些信息是在OpenID的上下文中,而不是使用者不想给出的口令或其他保密信息。

OAuth

为站点提供编程接口可以让其知名度更上层楼,然而在流量增加的同时,站点面临的安全压力也在同比增长。OAuth正是该背景下的产物,它可以让第3方应用安全使用你的站点数据。说到使用OAuth来保护API的好处,Dion列举如下:

  • 安全、保密的第3方数据访问
  • 对于第3方访问的控制是声明性的
  • 大量第3方应用的使用将有助于推动本地站点的使用

和OpenID一样,在主流语言中你同样可以找到对OAuth的支持。对于有兴趣了解OAuth规范的读者则可以参考这里

Facebook Connect

和以上两个都是开放标准不同,Faccebook Connect是一个私有标准。至于选择它的原因,Dion给出的解释是“缺乏开放、被广泛的社交身份系统,而该类系统的影响却越来越大。”。同时,他还援引了Facebook的数据:

对大多数站点来讲,“2/3的新注册是通过Facebook Connect来的,而且这些使用者大约有一半以上都开始使用这些站点”。

Dion以自己为例对Facebook Connect的使用效果进行了说明:

例如,我经常使用一个视频共享站点Vimeo,但我的很多朋友并不使用,甚至没有那里的账户。但是,在我发布视频的时候,通过显示我视频的Facebook Connect链接,他们可以在自己的活动流(activity stream)中看到我在Vimeo上做的事情。然后,他们可以决定是否观看这个视频,或者是访问Vimeo。

Facebook Connect的功能和优点如下:

  • 一键登录,使用者可以使用自己的Facebook身份并让你的站点访问他们的Facebook信息。
  • 更多的参与,利用使用者个人兴趣来提供更具针对性的信息,交付朋友自己定制的内容。
  • 新的分发模型,通过Facebook上的活动流或其他社交渠道,使用者可以和Facebook上的联系人分享内容和发生在你站点上的行动。
  • 直接访问Facebook,使用该API,可以让超过70万的开发者构建大量应用。

Facebook Connect的使用并不复杂,因为它本身就是一组Javascript库和XML标记,关于它的使用可以参考Dion给出的入门指南

幸运的是,这3种工具并非排他的。完全可以结合使用,Dion在文中给出了结合使用OpenID和OAuth的例子:Step2项目。您是否已经建立您的站点,是否考虑开放您网站的API,是否考虑拥抱Facebook?那么Dion Hinchcliffe的这篇文章绝对应该在你的阅读范围之列。

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

用户沉淀 by shi andy

使用了openid,意味着用户沉淀收到影响。网站缺少了用户沉淀,恐怕也是很多网站不愿使用的原因吧。

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

1 讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT