Názory k článku
OpenID: Identity, aliasy a vlastní poskytovatel

Bývá to obecná vlastnost všech dobrých nápadů, že časem začne být přeplácaný. Zkuste si přečíst specifikaci poslední verze a zjistíte, že to je úplně jiný systém než verze 1.1. Tohle bohužel může tak pěkný projekt zahubit.

Snad neprozradím nic tajného když řeknu, že při implementaci serveru v Seznamu s tím měli docela problémy, aby implementovali většinu featur. A bohužel to není konečná...

Souhlasím... Jakmile se do OpenID nacpaly věci okolo XRDS a Yadis, tak nakynula knihovna i dokumentace, a přínos, nakolik mohu posoudit, je (zatím?) poměrně malý...

jj

OpenId seznamu může také obsahovat doménu .id.email.cz

Jinak kdo by chtěl stáhnout stránku s identitou tak v linuxu jednoduše přes wget

wget /openid/ -O soubor

"Link na openid.server, resp. openid2.provider, je na stránce OpenID identity povinný."

Ahoj,

jen pro uplnost(v OpenID 2.0), pokud je ve hlavickach odpovedi(Discovery se vlastne sklada, ze tri casti - HEAD na hlavicky, GET na content a pak podle XRDS a nebo nakonec podle meta tagu.), pripadne ve strance odkaz na XRDS dokument, tak tam meta tagy s relation openid.server nebo openid2.provider. RP si pak stahne XRDS dokument, kde by mela najit vse vcetne lokalni identity a podporovanych extension.

Děkuji za doplnění, já nechtěl zabíhat až do takových podrobností a motat do toho ještě XRDS. Někdy na něj možná přijde doba, v tuhle chvíli mi připadalo potřebnější, vzhledem k úrovni povědomí o OpenID, ukázat aspoň možnost vytvoření "vlastní identity".

Omlouvam se za lamersky dotaz... Pro prihlaseni na ruzne zabezpecene servery (banky apod.) pouzivam digitalni certifikat(-y), lze s nim i podepisovat, sifrovat apod. Proc neni vytvoren jakysi digitalni certifikat, ktery by identifikoval cloveka (on vlastne je - zaruceny digitalni "podpis") a pomoci nehoz bych se mohl kamkoliv prihlasit (jako do te banky)? Je to z duvodu slozitosti zpracovani na strane serveru pozadovane sluzby?

OpenID jsem pochopil jako univerzalni autorizacni server, na ktery se prihlasim a on me autorizuje u sluzby, kterou pozaduji...

Pokud vím, tak specifikace OpenID nedefinuje způsob autorizace, takže v budoucnu by mělo být něco podobného možné.

Aha, takze bych se pomoci certifikatu prihlasil na server poskytovatele OpenID. Ale slo by udelat system, ktery by poskytovatele OpenID vynechal? Ze bych se prihlasoval certifikatem rovnou do jednotlivych sluzeb? Co by potom spravce sluzby musel mit k dispozici?

Ano, šlo by to, ale správce každé služby, do níž byste se chtěl přihlásit, by musel podporovat NĚJAK autentizaci a implementovat mechanismus pro přihlašování via certifikát.

Specifikace OpenID 2 přišla s rozšířením PAPE, které umožňuje klientovi požadovat, aby OpenID poskytovatel ověřil člověka více způsoby - např. jménem a heslem + algoritmem challenge/response. Navíc umožňuje požadovat, aby jeden z těchto způsobů ověření byl "fyzikální", tedy pomocí nějaké hmotné věci, co uživatel musí mít (USB dongle, čtečka otisků prstů, "kalkulačka" na kódy, ...)

Výhoda podobného postupu je ta, že vy si můžete vybrat poskytovatele, který vás ověří pomocí certifikátu, a takto ověřen se můžete přihlásit na LIBOVOLNOU službu, která podporuje OpenID - odpadá tedy nutnost implementace konkrétní metody ze strany služby. A pravděpodobnější je, že naleznete takového OpenID poskytovatele, než že všechny služby implementují všechny možné způsoby ověřování. :)

Drobný problém s českým zaručeným certifikátem je, že s ním můžete pouze podepisovat. Takže autentizaci tímto certifikátem lze udělat pouze krkolomným způsobem, kdy server pošle text, uživatel si jej přečte, podepíše, a podpis odešle zpět.

Toje zajimave, to jsem nevedel... ale jak tedy bude narocne provozovat sluzbu (dejme tomu webove rozhrani pro mailovy server nebo webove forum), do ktere by se uzivatele prihlasovali certifikatem? Jak probehne vyhodnoceni autentizace z pohledu serveru, co vsechno budu muset na serveru mit a co pozadovat odjinud?

Nasel jsem zpusob pouziti certifikatu SSH pro autentizaci - prijde mi to na strane serveru neprilis slozite (kdyztak me vyvedte z omylu...):

In brief, certificate authentication works in the following way:

* The client sends the user certificate (which inludes the user's public key) to the server.
* The server uses the CA certificate to check that the user's certificate is valid.
* The server uses the user certificate to check from its mapping file(s) whether login is allowed or not.
* Finally, if connection is allowed, the server makes sure that the user has a valid private key by using a challenge.

Porad mi prijde, ze kdyby se zavedlo pouzivani jednotneho overeneho certifikatu pro prihlasovani k ruznym sluzbam, tak je to jednoduzsi, nez OpenID a spol. ?? Neco ve stylu certifikatu overeneho digit. podpisu, ktery by ale umoznoval vice funkci, nez jen podepisovat maily...

Technologicky to je podobné. I zde server ověřuje u někoho třetího (u CA), zda certifikát platí. Jinak ohledně výhodnosti viz výše - než implementovat přihlašování via digitální podpis (jste si jist, že US server bude znát naše CA?) na všech službách, je jednodušší implementovat OpenID a implementaci přihlašování certifikátem (a třeba čtečkou otisků, USB donglem, čtečkou sítnice, ...) požadovat od OpenID poskytovatelů.

aj podla mňa by namiesto rozširovania certifikátu bolo lepšie opačný postup -
pridať ku OpenID certifikaciu.

Najlepšie by bolo asi takto -
1. Relying party by komunikovala s Providerom že či je to moje OpenID,
2. potom, ak by chcela aj certifikát, skontaktovala by Certifikačnú autoritu v mojej krajine a overila či moj OpenID je aj certifikovaný (tam by som musel ist raz realne s občiankou)
3. uznala a použila by moje certifikované OpenID napr. na digitálny podpis

:) ak som úplne mimo, pls ignorujte

Chtěl bych se zeptat čím to, že když zadám svůj vlastní alias, tak se to přepíše na http://mojeID.myopenid.com/xrds.
Chtěl jsem tohle řešení používat kvůli případné změně providera, ale když bych chtěl změnit providera, tak bych stejně potom musel všude měnit svůj identifikátor místo aby tam zůstal alias mého webu a jenom se přihlašoval přes někoho jiného a smysl mého aliasu by se vytratil ...