OpenID:使用户在互联网上畅通无阻

你是否知道有一种很酷的技术正在起步，这就是OpenID。

　　OpenID类似于单点登录技术(single sign on),但又更简单--这就是OpenID项目负责人所持的观点，看起来也确实如此。这项诞生仅两年的技术目前已被全球5000多个网站所支持，拥有1.2亿个人用户(他们被熟悉该技术的人称作"OpenID's")，而这一数字到今年年底预计会增长到5亿。

　　在本月举办的LinuxWorld会展上，我在Moscone会议中心大厅拍摄大受欢迎的视频网志的间隙，对OpenID碰巧有了进一步的了解。当时我们的老朋友兼专家Bernard Golden刚好从那里经过，跟在他身后的就是Scott Kveton--OpenID委员会的主席。

　　长话短说，说一下Scott上周在电话里跟我谈论OpenID的情况吧。

　　首先，让我们看一下OpenID的官方网站是如何定义这项技术的。

　　对极客(geeks)们来说，OpenID是一个开放、分散和自由的体系，用于建立以用户为中心的数字身份。OpenID利用了一些现有的互联网技术(URI、HTTP、SSL和Diffie-Hellman密钥交换协议)，并考虑了下列事实，即人们已经在为自己创造数字身份，不论是通过网志、网上相册、个人页面还是其它一些形式。他们可以使用OpenID把这些现有的URI之一轻松地转换成一个账户，并在支持OpenID登录的网站上使用。

　　对个人而言，OpenID使其无需记住多个用户名和密码，从而获得更顺畅和更安全的网络体验。对于商业用户来说，可以减少管理密码或帐户的成本，简化注册过程而获得更多新用户，并避免因用户丢失或遗忘密码而丧失交易机会。OpenID为身份验证领域带来了创新，它不再仅仅是使用一个密码来"解锁"你的OpenID，而是能够严格保护你的OpenID，并让你在网上任何地方都能获得这种保护。

　　Kveton认为OpenID是过去的技术--例如Microsoft的Passport和自由联盟计划(Liberty Alliance Project)的鲜明对照，将像他在上周预计的那样获得飞快发展。我很难不赞同他的观点。"ID的使用者在网上太多的地方面临太多的验证方式，"他说，"OpenID超级简单，而Passport和Liberty Alliance则过于复杂和难用了。"

　　但OpenID的安全性如何?Kveton对此也有一个答复，并再次拿它与Microsoft Passport进行了比较。Kveton说，OpenID是一个分散式的系统，这意味着一名用户或开发人员用"一个下午"就能实现一个相关的应用(例如搭建自己的OpenID注册服务器或验证服务器)。

　　对于Passport这种系统，所有的用户信息(包括ID、密码和个人资料)都属于Microsoft一家所有。而OpenID不是这样，Kveton让它保持了分散性，正是这一特点极大地帮助了它，使它自2005年诞生起持续吸引了数百万的用户。我敢打保票说任何人都希望把私人信息(比如密码)完全控制在自己手中，不是吗?尽管如此，网络钓鱼欺诈(phishing)仍然值得担忧--对于任何一个身份验证系统或单一登录系统都是这样。"一个很大的担忧是，OpenID会成为钓鱼欺诈的重要目标;如果有人获得了你的OpenID信息，就能用你的身份访问原本对你授权的所有网站。"但即使存在这种表面上的担忧，OpenID还是获得了蓬勃发展，因为许多用户已经习惯于把自己的密码放心地交给第三方网站去管理。这是不是让人感到迷惑?可以这样想一下：当你最近一次忘掉自己的Gmail密码时，你是怎么把它找回来的?你肯定依靠Google(而不是别的钓鱼欺诈网站)给你发送一个新的密码。在我看来，在OpenID时代仍须像今天对待邮箱密码一样，保持应有的谨慎。根本上讲，只要在管理自己的敏感信息时别犯低级错误，安全上就不会出什么问题。