OpenID => Hiểu đơn giản là site bạn đang muốn login sẽ được site chứa ID của bạn xác thực thằng này đúng là nó. Oauth => Open protocol secure Authenticate, ngoài việc xác thực nguời dùng đang muốn login, qua giao thức này site đích(consumer) có thể truy cập các thông tin và sử dụng chức năng của site chứa thông tin gốc(provider) của người dùng. Ví dụ với việc login qua facebook user thường được hỏi cho phép lấy thông tin email, họ tên(xác thực và lấy thông tin người dùng) ... post lên wall(sử dụng chức năng của facebook)... Site bạn muốn đăng nhập đóng vai trò là consumer, facebook là provider. Câu hỏi được đặt ra là có an toàn hay không? Cái nào an toàn hơn? Câu trả lời muôn đời là an toàn hay không do người dùng. Nếu bạn bất cẩn, không chịu nhìn ngó kĩ, việc fake login là hoàn toàn có thể. Không thằng nào an toàn hơn thằng nào!
rooney_di_spacy @suatuoi như bác nói thì OAuth có cả chức năng login? Nếu đúng như vậy thì site đích có lưu được thông tin về user name với pass ko?
suatuoi @rooney_di_spacy Bạn đọc lại cách login! Kể cả Oauth lẫn OpenID đều cần login lại nếu bạn đã logout khỏi provider, và đây chính là kẽ hở để có thể dựng fake login để steal password và username, chứ về bản chất thì không bao giờ provider cung cấp password cho consumer. Do đó mới có câu trả lời "Phụ thuộc người dùng"!