在SSL和金融事务中使用OpenID的安全性问题

Question

我正在设计一个web /移动应用程序，它可以聚合和定制地显示来自第三方web服务(第一阶段)的爱好/生活方式相关数据。如果网站越来越受欢迎，我计划提供相关的体育用品出售(第二阶段)。

我对OpenID/OAuth还比较陌生，并计划在第一阶段使用它，就像Stackexchange一样，因为安全性问题相对较低--用户配置文件数据不包含任何财务信息，而且大部分只包含可以轻松重建的用户首选项。然而，考虑到会有财务和个人数据，我不愿意在第二阶段使用OpenID/OAuth。

Q1:有哪些网站在存储用户的财务和个人数据的同时成功和安全地实现了OpenID/OAuth？

Q2:如果站点只暂时使用CC/PayPal数据，即用户必须在每个事务上重新输入敏感信息，而这些信息没有存储，那么使用OpenID/OAuth是否更适用，风险更小？

Q3:是否可能获得这种身份验证/授权体系结构的SSL证书？

的好处是:即使是肯定的(或者假设技术演变为可应用的)，您是否认为最终用户不会信任一个用财务数据外包身份验证的站点(这更像是一个心理问题)？

相关：

What reasons are there NOT to use OpenID?

OpenID Over SSL with self signed certificate

Answer 1

1. Google拥有OAuth/OpenID服务，并存储财务信息。
2. 出于安全考虑，您应该对任何敏感信息进行额外的验证。
3. SSL只验证当有人想要到达您的站点时，他们实际上是到达您的站点。OpenID和OAuth不会影响获得SSL证书的能力