我正在设计一个网络/移动应用程序,它聚合并自定义地呈现来自第三方Web服务(阶段1)的爱好/生活方式相关数据。如果网站受欢迎,我打算提供相关的运动装备出售(第2阶段)。使用OpenID与SSL和金融交易的安全问题
我对OpenID/OAuth
相对较新,并计划将其用于第1阶段,与Stackexchange的使用方式大致相同,因为安全问题相对较低 - 用户配置文件数据不包含任何财务数据,大多只包含用户首选项轻松重建。不过,考虑到会有财务和个人数据,我不愿意在第2阶段使用OpenID/OAuth
。
Q1:在存储用户的财务数据和个人数据时,是否有任何可以成功安全地实现OpenID/OAuth
的站点示例?
Q2:如果网站只使用CC /贝宝数据暂时的,即用户必须重新输入后每笔交易,未存储的敏感信息,是采用OpenID/OAuth的更适用,低风险的呢?
问题3:甚至有可能获得这种认证/授权体系结构的SSL证书吗?
BONUS:即使A1是肯定的(或者假设技术演变为适用),您是否预计最终用户不会信任将财务数据外包给认证的网站(这更像是一种心理题)?
相关:
What reasons are there NOT to use OpenID?
OpenID Over SSL with self signed certificate
您是否希望添加OpenID作为身份验证机制(类似于Stack Overflow的工作方式)还是您希望使用OAuth从其他站点检索数据(或允许从您的网站获取数据)? OpenID和OAuth用于不同的事情,所以要清楚你正在寻找哪一个。主要认证主要是 – 2013-03-18 22:13:57
。我希望OAuth允许我存储和管理远程服务提供商的权限级别和ACL,但如果这不可能比最有可能检索FB配置文件图片 – amphibient 2013-03-18 22:43:29
您需要OpenID进行授权,但OAuth需要提取数据(例如作为FB档案图片和任何其他数据) – 2013-03-19 21:09:35