Mi chiedo quale modello di sicurezza sia dietro l'OpenID. È qualcosa di simile a Kerberos?
La domanda è molto ampia ed è difficile indovinare cosa stai effettivamente chiedendo. Puoi trovare le specifiche al link
Kerberos viene in genere utilizzato in un ambiente controllato . In quell'ambiente ci sono server Kerberos noti e affidabili ("centro di distribuzione delle chiavi"). Il server Kerberos autentica il fornitore di servizi per il client e il client per il fornitore di servizi. Pertanto il server Kerberos deve conoscere tutti i client e tutti i provider di servizi.
OpenID , tuttavia, è progettato per un ambiente aperto come Internet in generale. Questo è qualsiasi fornitore di servizi (sito web) che può collaborare con qualsiasi server openid ("provider di identità") per autenticare i client.
Poiché Kerberos viene utilizzato in ambienti controllati, l'accesso ai servizi è totalmente trasparente dopo l'accesso al computer. Su Internet, tuttavia, devi scegliere il tuo provider openid e quindi accedere ad esso. Questi sono due passaggi aggiuntivi. Inoltre, il reindirizzamento al tuo provider openid può finire in un sito di phishing , se il fornitore di servizi è malevolo.
Il server openid conosce solo i suoi utenti. A differenza di Kerberos, i provider OpenID non possono autenticare i provider di servizi . Molti provider di openid quindi chiedono all'utente di confermare che desiderano accedere a un sito Web specifico prima di trasmettere informazioni di identità. In un ambiente controllato tali decisioni vengono prese dagli amministratori (supponendo che abbiano una migliore comprensione della sicurezza rispetto agli utenti). Questa conferma può essere salvata per ogni dominio. A differenza di Kerberos, tuttavia, non è coinvolta l'autenticazione. Se la proprietà di un dominio cambia per motivi legittimi o illegittimi, questo non viene notato.
OpenID ha un numero di problemi che Kerberos non ha. Kerberos, tuttavia, non funziona affatto in un ambiente aperto, quindi non è un'alternativa per i casi di utilizzo comune di OpenID.
Comprendo che OAuth (che è il protocollo implementato da OpenID) è un diretto discendente di Kerberos. Dai un'occhiata a questa discussione per un puntatore alle specifiche.
Leggi altre domande sui tag authentication openid sso federation