1
我正在設計一個網絡/移動應用程序,它聚合並自定義地呈現來自第三方Web服務(階段1)的愛好/生活方式相關數據。如果網站受歡迎,我打算提供相關的運動裝備出售(第2階段)。使用OpenID與SSL和金融交易的安全問題
我對OpenID/OAuth相對較新,並計劃將其用於第1階段,與Stackexchange的使用方式大致相同,因爲安全問題相對較低 - 用戶配置文件數據不包含任何財務數據,大多隻包含用戶首選項輕鬆重建。不過,考慮到會有財務和個人數據,我不願意在第2階段使用OpenID/OAuth。
Q1:在存儲用戶的財務數據和個人數據時,是否有任何可以成功安全地實現OpenID/OAuth的站點示例?
Q2:如果網站只使用CC /貝寶數據暫時的,即用戶必須重新輸入後每筆交易,未存儲的敏感信息,是採用OpenID/OAuth的更適用,低風險的呢?
問題3:甚至有可能獲得這種認證/授權體系結構的SSL證書嗎?
BONUS:即使A1是肯定的(或者假設技術演變爲適用),您是否預計最終用戶不會信任將財務數據外包給認證的網站(這更像是一種心理題)?
相關:
What reasons are there NOT to use OpenID?
OpenID Over SSL with self signed certificate
您是否希望添加OpenID作爲身份驗證機制(類似於Stack Overflow的工作方式)還是您希望使用OAuth從其他站點檢索數據(或允許從您的網站獲取數據)? OpenID和OAuth用於不同的事情,所以要清楚你正在尋找哪一個。主要認證主要是 – 2013-03-18 22:13:57
。我希望OAuth允許我存儲和管理遠程服務提供商的權限級別和ACL,但如果這不可能比最有可能檢索FB配置文件圖片 – amphibient 2013-03-18 22:43:29
您需要OpenID進行授權,但OAuth需要提取數據(例如作爲FB檔案圖片和任何其他數據) – 2013-03-19 21:09:35