OpenId/自定义混合身份验证 - 糟糕的用户体验？答案

【问题标题】：OpenId/Custom Hybrid Authentication - Bad UX?OpenId/自定义混合身份验证 - 糟糕的用户体验？
【发布时间】：2010-09-09 12:09:35
【问题描述】：

我正在设计一个新的网络应用程序。关于它的一些快速要点：

那么，很简单吧？（著名的遗言）

现在我的问题是：

我应该提供 OpenId 作为唯一的身份验证方式，还是应该还为用户提供登录选项在使用我自己的身份验证系统？

所以这基本上是一个“用户体验”问题。以 StackOverflow 为例 - 您必须使用 OpenId 注册。对我来说这似乎很好，但普通大众呢？我对我网站的用户必须拥有 OpenId 帐户这一事实感到满意吗？（或在使用我的网站之前注册一个）

是否为用户提供了两种登录不良用户体验的选项？

我意识到这是一个部分主观的问题，但我只是在寻找关于走哪条路的建议，一些案例研究会有所帮助。

谢谢。

【问题讨论】：

【解决方案1】：

对主观问题的任何好的回答都以视情况而定开头。 :-)

我认为，如果您的潜在用户群已经相当活跃于社交网络（正如您的描述所说的那样），那么让 OpenId 提供商处理身份验证可能会很好。重要的部分是提供一个易于使用的登录过程，并清楚地表明各种提供商都可用于身份验证（雅虎、谷歌等）。

如果您的潜在用户群将由新的或没有经验的互联网用户组成，那么即使是简单的 OpenId 实现也可能会过于混乱。

一方面，我觉得每次访问新网站时都必须创建一个另一个帐户很烦人，而且我怀疑越来越多的用户也有同样的感受。

https://ux.stackexchange.com/questions/78 上的类似问题有一组不错的回复

【讨论】：

正是我正在寻找的答案，谢谢 (+1)。我还将提供一个“Facebook Connect”按钮。我会坚持使用 OpenId。但是我仍然可以获取有关用户的信息吗？我的“用户”实体只会关心姓名、位置、年龄等。当他们使用 OpenId“登录”时 - OpenId 是否会给我这些信息？另外 - 甚至不知道 ui.stackexchange.com - 太棒了！ =)
你从 OpenId 提供者那里得到什么信息取决于提供者和用户。您可以在身份验证请求中请求它，但您可能不会得到它（用户被告知信息请求并且可以拒绝它，即使在身份验证成功时也是如此）。
@Eric King - 很酷，就像 Facebook Connect 一样。（拒绝/允许信息，烫发）。谢谢老兄！
Janrain 的研究表明，提供混合登录（用户名+密码或 OpenID）比仅使用其中一种登录率更差。
@Andrew, @Eric King - 我也可以。然而，这是一个社交网站，严重依赖 FB、Twitter 等。因此我至少需要一个 facebook/twitter 登录。因此，这只是除了 fb/twitter 登录之外，我是否提供 openid/custom 或两者都提供的问题。艰难的一个。我现在倾向于没有 openid，因为没有足够的人知道它。我总是可以稍后添加它，但是以后不能真正添加自定义系统。

【解决方案2】：

问题是只有 OpenID 不会在你的情况下削减它，主要是因为 Facebook 和 Twitter 不是 OpenID 提供者。两者都使用 OAuth 2 进行身份验证。维基百科是这么说的：

OAuth（开放授权）是一种开放的授权标准。它允许用户与另一个站点共享存储在一个站点上的私人资源（例如照片、视频、联系人列表），而无需提供他们的凭据，通常是用户名和密码。

还有这个：

OAuth 是一种与 OpenID 互补但又不同的服务。

DotNetOpenAuth 还支持 OAuth，最新的 CTP 版本实现了 OAuth 2 草案 10。请注意，OAuth 2 规范仍在开发中，预计将在 2010 年底完成。OAuth 2 也不落后与 OAuth 1 兼容。

【讨论】：