标签:
在网上看OpenID与OAuth(开放的网上身份验证机制)的说明,认为这一机制太过复杂而应当用Email代替。
例如,在博客网站发表文章或者在网店购物,可以直接用Email邮寄文章或订货单,而不需要通过复杂的网站登录认证操作。所用的Email地址必须有权威性,即代表已验证当事人身份。譬如公司给员工、银行给客户的Email地址较有权威,而QQ或新浪邮箱地址没有权威。OpenID暗示说如果公司等愿意提供这项服务,应该为相应的Email提供一个公开的网址,如为person@openid.job.com提供http://person.openid.job.com网址,里面标出公开信息,如照片、付账地址,若不支持付账则不应填写付账地址。因此,在作发布博客或网上购物等操作时,当事人完全不需要另外注册。当事人可以为不同目的(如博客、购物)建立多个id,为不同目的使用不同的Email地址。
这一模式实际上是在模仿Unix的已有工具,Unix中的账户与Email地址对应,而“finger user@host”命令用于查找账户的公开信息,支持plan、project、pgpkey等。实际上,openid用到的http协议也可以用finger协议代替。
公司在为员工提供这项服务时,应首先让员工签字同意为Email所产生的后果(如购物)负责。公司建立openid网站,即表示承诺认真履行相关手续防止ID盗用,它可以在公开网址如http://openid.job.com中声明相关信息(如指向该公司银行账户的公司的openid)。
用上述方法作付账等操作可能有泄露敏感信息的问题,如用户的付款地址被公开在网上。实际上,在任何网购中用户都必须将付款信息告诉网店,而openid仅仅是告诉这一信息的简便方法。另一方面,提供Email的公司不会给出openid目录,所以用户敏感信息的安全性与用其他方法网购相同,只要商家不泄露或转售就是安全的。不过,邮件在传输过程中Email地址可能被截取,直接在网上购物填写的表单信息也有被截取的可能。作为防范措施,用户可以设置允许查看openid的商家域名,因而很容易捕获越轨者。
更为简便的解决方法是,当用户通过公司的Email账户发送邮件时,公司自动允许收件方的域名检查openid。实际上,如果Email账户是由银行提供的,那么可规定特定的邮件格式为电子支付,当用户通过银行发送邮件时,银行自动代理支付。即使没有openid,银行也可提供上述服务,将特定域名下的Email地址与银行账号绑定,使用户可以用Email参与交易。
Unix有指定邮件传输路径的概念,这用于传输敏感信息。Unix的UUCP工具允许指定bang path,即用“!”分隔的主机名。使用SMTP传送邮件也有自然接力,一台主机将邮件送到下一台的SMTP服务器。如果用户将公司给的Email地址与自己的银行账户挂钩,公司服务器首先将电子支付邮件转发给银行服务器作接力,收信方也首先将邮件转发给自己的银行,那么普通的公司域名邮件地址也能用于支付等银行账户操作。
上述验证方式使个人或小公司不需要特殊工具或编程就能相互交易,同时方便大公司用程序完成批量的订单发送。Email本身是交易的良好记录,本机保存的邮件方便用户使用自己的工具查找管理这些记录。另外需要指出,尽管电子支付很方便,邮寄纸质账单仍然是必要的,并且应鼓励账单累计付账、而避免预付费与即时付费的模式。纸质账单留下有法律效力的交易记录,成为财会的凭据,按账单累计付账避免频繁支付导致的疏忽、并降低成本。预存费有商家管理现金的资质及是否会倒闭的信用问题,并且常缺少清晰账单不便财会记账而难以核对差错,在发生商业纠葛时客户处不公平位置。
互联网文化的要旨是自助与合作,而不是集中控制。使用Email的身份验证是分布式的,不需要将交易信息集中交给某个中介公司(如用腾讯微信交易),因而更能保护隐私与信息安全。实际上,让非本地商业公司过度收集敏感的交易资料是不可容忍的,应被政府禁止。
标签:
原文地址:http://blog.csdn.net/hk201406/article/details/46557537
