Neobsahuje názory Henryka Laholy

Co to je OpenID?

WTF is OpenID? Osvěty není nikdy dost. Co to je OpenID, jak to funguje, jak to použiju, jak to nepoužiju, co na tom změním, ďas aby to spral!

Uživatelský popis OpenID už jsem tu nastínil v minulém článku. Další informace k samostudiu zde:

http://mozek.cz/info/openid
http://openid.net/
http://en.wikipedia.org/wiki/OpenID
http://www.openidenabled.com/

http://www.itsecurity.com/features/openid-identity-management-catches-fire-021707/ - Microsoft, the biggest of them all, said in early February it would align its Windows CardSpace Initiative with the OpenID 2.0 specification. A few days before, Symantec also said it will support OpenID for use with its new Norton Identity Service, following Verisign’s announcement last year of its Personal Identity Provider service for OpenID users.

Co to je OpenID?

OpenID is an open, decentralized, free framework for user-centric digital identity.

OpenID je otevřený. K dispozici jsou zdrojové kódy pro servery i pro klienty v nejrůznějších jazycích – http://www.openidenabled.com/openid/libraries/
OpenID je decentralizovaný. Není jeden centrální server, je zcela na vás, který si vyberete. (Trochu jako Jabber, že?)
OpenID je "free". Nikomu se nic neplatí ani za používání OpenID, ani za použití technologie jako takové.

Základní myšlenka je mít údaje o osobě na jednom jediném serveru, který tyto informace poskytne schváleným žadatelům a zároveň ověří uživatele.

Výhodou otevřenosti a decentralizovanosti OpenID je možnost udělat si vlastní OpenID server, pokud se vám ty oficiální nelíbí. S jinou grafikou, s jinými pravidly pro registraci... Dokonce existují i malé OpenID servery, které ověřují jednoho jediného uživatele. Můžete si ho nasadit na svůj web, pokud vám na existujících implementacích cokoli nevyhovuje. Můžete si mu přidat vlastní podepsaný SSL certifikát. Stávající "OpenID ready" systémy pak dokáží pracovat i s vaším podpisem a dokáží si vás ověřit u VAŠEHO serveru.

Existuje i možnost použití URL stránek jako OpenID identifikátoru. Příkladně já mám OpenID identitu openid.cz/adent. Vložil jsem si do hlavičky těchto stránek dva tagy:

<link rel="openid.server" href="https://openid.cz/server/">
<link rel="openid.delegate" href="openid.cz/adent">

openid.server udává server, kde probíhá ověření, openid.delegate je moje identita. Místo svého OpenID identifikátoru "openid.cz/adent" mohu použít "zapisnik.maly.cz" se stejným výsledkem. Ověřovací knihovna se pokusí spojit se "zapisnik.maly.cz", nalezne tyto dva tagy a ověří identitu u serveru, který je v nich zadán. Odpadá tak defacto důvod, pro který by mělo být součástí OpenID i URL stránek.

Jak OpenID funguje?

V nejjednodušší podobě probíhá ověřování uživatele zhruba takto:

1. Uživatel zadá na stránky Klienta své OpenID.
2. Klient z informací v OpenID zjistí, který poskytovatel toto konkrétní OpenID spravuje (Poskytovatel)
3. Uživatel je přesměrován na stránky Poskytovatele
4. Na stránkách Poskytovatele se Uživatel standardním způsobem přihlásí, pokud je třeba, a určí, jaké údaje budou předány (pokud je třeba).
5. Uživatel je přesměrován zpět na stránky Klienta. V HTTP požadavku jsou předány požadované informace a podepsaný jednorázový klíč
6. Klient přijme informace a ověří si (skrytým) voláním Poskytovatele platnost klíče

Implementace:

Odkazy na různé knihovny jsou na http://www.openidenabled.com/openid/libraries/  – Perl, Ruby, Python, PHP, dotNET, Java, ColdFusion

Existují pluginy do různých blogovadel (MovableType, WordPress, ...)

Další knihovny naleznete na http://openid.net/wiki/index.php/Libraries

Jednouživatelský server: http://siege.org/projects/phpMyID/

Implementace serveru v PHP: http://taral.livejournal.com/147710.html

Další informace

http://www.google.com

 

Pokud si budete vytvářet OpenID, dejte pozor na diakritiku v identifikátoru. měla by fungovat bez problémů na webech v UTF-8, ale zaručeno to není, proto raději volte identifikátor bez diakritiky – viz komentáře

Doufám, že se mi podařilo trošičku popsat OpenID nebo vás alespoň nasměrovat. Snad ještě jen dodatek: OpenID.cz není nová služba, která by měla nahradit MS Passport, nic z toho. Je to (první) ČESKÁ implementace veřejného serveru technologie OpenID. Výhrady k její použitelnosti a logice (5 znaků) prosím směřujte na jejich adresu, nikoli mně do komentářů. Já to neprovozuji, já to nedělal, prosím, pište to JIM – nebo nabídněte alternativu. Děkuji.

Dne 27.02.2007

Twittni

Přidej do: Přidat na Conota Linkuj si ! asdf.sk StumbleUpon Toolbar Stumble It!

Komentáře

[1] (Petr [openID] - WWW) 27.02.2007, 13:40:20 [X] [D]
Tak jsem to vyzkoušel a hnedle narazil. Navrhl mi adresu openid.cz/petr.novák - ale diakritika dělá na jiných webech problém :-( Tak jsem si musel vytvořit nový účet. :-(

[2] (Tomik - Mail - WWW) 27.02.2007, 22:13:55 [X] [D]
[1] Bohužel jsem narazil na ten samý problém a musel také hned vytvořit účet druhý... ;-) Ale jinak určitě dobrý nápad.

[3] (Tomik - Mail - WWW) 27.02.2007, 22:18:18 [X] [D]
Tak, někde je chyba. Netuším kde, ale když jsem do kolonky "Vaše jméno" zadal svoji OpenID identitu, po přepsání písmenek mě to hodilo na stránku http://www.openid.cz, kde jsem povolil přístup k ůdajům pro vždy a následně jsem byl přesměrován někam zpět na zápisník, ale Firefox vyhodil hlášku, že vznikla chyba při přesměrování...

[4] (Tomik - Mail - WWW) 27.02.2007, 22:19:50 [X] [D]
[3] Konkrétně ta chyba byla smyčka při přesměrování.

[3] ůdajů -> ach jo, stydím se, asi jsem se uklepl, jinak si nevysvětluji, že bych napsal takovou blbost...

[5] (Arthur Dent [openID] - WWW) 27.02.2007, 22:22:46 [X] [D]
[3] ano, někde je tedy chyba. Při zadání openid by se žádná písmenka opisovat neměla. Můžu poprosit o detaily (jaké je to OpenID, na jaké stránce se to zacyklilo apod.) mailem na admin zavináč bloguje.cz? A pokračování této diskuse prosím na http://zapisnik.maly.cz/493002-bloguje-cz-implementovalo-technologii-openid.html

[6] (Almad [openID] - WWW) 01.03.2007, 09:08:48 [X] [D]
Ahoj,

áno áno, děkuji :) Pořád jsem se nemoh dokopat k tomu o openid napsat a oni to po mě uživatelé chtěli (nějak jsem zavrhl jiné možnosti autentizace), takže děkuji děkuji :-)

[7] (jf [openID] ) 01.03.2007, 19:34:47 [X] [D]
Take se mi to nejak cyklilo a nakonec FF zahlasil, ze si nerozumi se stylem jakym pozadovana stranka redirectuje.. Zda se ale, ze uz to ted funguje.

[8] (bzuK - Mail - WWW) 10.04.2007, 16:45:00 [X] [D]
Dobrý den, pročítám všechny možné materiály kolem OpenID, a není mi jasná jedna věc - co se stane, když (čistě teoreticky) majitel serveru OpenID.cz jeho provoz ukončí? To by si pak všichni uživatelé s identitou u něj museli zařídit nové OpenID?

[9] (Arthur Dent [openID] - WWW) 11.04.2007, 13:47:48 [X] [D]
[8] Ano, mám dojem že přesně to se stane.

[10] (Věroš [openID] - Mail - WWW) 24.10.2008, 00:11:12 [X] [D]
Jen ověřuji funkčnost OpenID. Tento komentář je zbytečný.

[11] (Arthur Dent [openID] - Mail - WWW) 24.10.2008, 00:13:52 [X] [D]
[10] Obojí potvrzeno. :)