OpenID => Hiểu đơn giản là site bạn đang muốn login sẽ được site chứa ID của bạn xác thực thằng này đúng là nó. Oauth => Open protocol secure Authenticate, ngoài việc xác thực nguời dùng đang muốn login, qua giao thức này site đích(consumer) có thể truy cập các thông tin và sử dụng chức năng của site chứa thông tin gốc(provider) của người dùng. Ví dụ với việc login qua facebook user thường được hỏi cho phép lấy thông tin email, họ tên(xác thực và lấy thông tin người dùng) ... post lên wall(sử dụng chức năng của facebook)... Site bạn muốn đăng nhập đóng vai trò là consumer, facebook là provider. Câu hỏi được đặt ra là có an toàn hay không? Cái nào an toàn hơn? Câu trả lời muôn đời là an toàn hay không do người dùng. Nếu bạn bất cẩn, không chịu nhìn ngó kĩ, việc fake login là hoàn toàn có thể. Không thằng nào an toàn hơn thằng nào!
rooney_di_spacy @suatuoi như bác nói thì OAuth có cả chức năng login? Nếu đúng như vậy thì site đích có lưu được thông tin về user name với pass ko?
suatuoi @rooney_di_spacy Bạn đọc lại cách login! Kể cả Oauth lẫn OpenID đều cần login lại nếu bạn đã logout khỏi provider, và đây chính là kẽ hở để có thể dựng fake login để steal password và username, chứ về bản chất thì không bao giờ provider cung cấp password cho consumer. Do đó mới có câu trả lời "Phụ thuộc người dùng"!
rooney_di_spacy @suatuoi Vậy nếu em để keep logon với facebook thì có cần phải login lại lần nữa không? (Sử dụng cùng 1 trình duyệt)
suatuoi @rooney_di_spacy Không phải login lại nếu bạn đang login provider, lúc này provider(facebook, google) sẽ hiển thị confirmation page để liệt kê các tài nguyên thông tin và tính năng mà consumer muốn sử dụng của bạn(nếu bạn chưa confirm cho consumer sử dụng trước đây, còn đã confirm 1 lần rồi thì sẽ qua luôn)!
rooney_di_spacy @suatuoi Vậy là việc cần lưu ý ở đây là khi mình đã out ở FB và login vào 1 site nào đó thì phải chú ý cái trang login có đúng là của FB không (https://facebook.com/...) facebook.com ចូលទៅក្នុង Facebook ដើម្បីចាប់ផ្ដើមការចែករំលែក និងការតភ្ជាប់ជាមួយមិត្តភក្ដិ គ្រួសាររបស់អ្នក ព្រមទាំងមនុស្សដែលអ្នកស្គាល់។ facebook.com Ngoài ra nếu mình đã login ở FB rồi mà site kia vẫn yêu cầu login lại thì nên nghi ngờ.
suatuoi @rooney_di_spacy Yep, true. Việc không an toàn ở đây phụ thuộc nhiều vào thằng consumer có bị lợi dụng hay không. Nếu tinh ý để ý sẽ thấy các provider sẽ không cho phép consumer include cái page login Oauth qua iframe hoặc trên chính site consumer mà bắt buộc phải mở 1 page/tab mới. Việc này có thể gây mất thẩm mĩ và hơi khó chịu cho người dùng nhưng nó lại là cái để người dùng chú ý vào page mới được mở ra và tránh việc consumer bị lợi dụng.