Welcome to ITBlogs Sign in | Join | Help

Items

Своего рода заметки по любому поводу, но, конечно, в рамках IT.
И снова об идентификации

Все знают о проблеме идентификации рядового пользователя в сети. Многие сталкиваются с этой проблемой сами и неимоверно страдают от этого. Некоторые понимают, что заводить много учётных записей с одним и тем же паролем плохо, а помнить отдельный "хороший" пароль для каждой учётной записи невозможно. И лишь единицы берут и придумывают своё решение.

Много уже сказано об OpenId и CardSpace, вот, товарищи из Sxip чего-то придумали, но зачем придумывать что-то, что потребует переработки всего старого. Я в том смысле, что, чтобы получить все прелести OpenID я как пользователь должен создать ещё один аккаунт, на этот раз на сервисе, который обеспечивает поддержку этого самого OpenID. Остаётся только надеяться, что на этот раз это будет самый распоследний из аккаунтов, данные которых мне потребуется запомнить. Правда, надежды мало.

Решение напрашивается само собой. Скажем, у меня уже есть Google Account. Почему я не могу использовать его для авторизации на сервере того же Flickr. Нет, я понимаю, что сытый голодному Yahoo! Google не товарищ, но всё же. Основная-то идея в удобстве для меня как для конечного пользователя, ведь так?! (Хочется в это верить.)

Многие шикарные машины в наши дни в комплекте имеют служебный ключ. Этот ключ ты можешь смело отдать парковщику и он сможет с его помощью проехать на машине не более пары километров, в отличие от обычного ключа. Некоторые служебные ключи не позволяют открывать багажник или блокируют доступ к книге контактов автомобильного телефона. В не зависимости от того, какие ограничения накладывает такой ключ, сама идея очень умна. Ты даёшь кому-то ограниченный доступ к своей машине при помощи специального ключа, в то время как сам владеешь ключом "от всех замков".

из Explaining OAuth

Идея, как видим, не нова, как минимум в приложении к автоиндустрии. Однако, знающие люди скажут, что и в Web подобные решения уже есть. Всё верно, достаточно вспомнить Google AuthSub, AOL OpenAuth, Flickr API и прочих. Нового в OAuth только то, что теперь это почти стандарт. А как только появляется стандарт, сильно возрастает вероятность его поддержки со стороны горячо любимых Web ресурсов. Может не за горами тот день, когда для подписки на новый сервис не надо будет создавать очередную пару логин-пароль, и для того, чтобы оставить комментарий в любом блоге достаточно будет ввести данные своего Google Account.

Posted: 10 октября 2007 г. 11:26 by moiseev

Comments

lazyant said:

А владелец базы OAuth будет осведомлен о том, на каких сайтах аутентифицируется пользователь?

# октября 10, 2007 13:25

moiseev said:

Я, честно говоря, спецификацию-то не осилил. Но судя по опыту общения с Google AuthSub авторизация всегда проходит непосредственно на сервисе, предоставляющем авторизационные данные.

Более того, я тут подумал и решил, что в последнем абзаце написал глупость. В погоде за красивой фразой исказил, собственно, смысл.

Идея в том, чтобы дать возможность какому-то сервису манипулировать своими данными от своего имени, но с ограниченными полномочиями. Как-то так...

# октября 10, 2007 13:56

lazyant said:

>авторизация всегда проходит непосредственно на сервисе, предоставляющем авторизационные данные

Иными словами, в базах данного сервиса будут храниться все адреса, с которых запрашивалась авторизация для данного логина. Полезная информация :-)

# октября 10, 2007 14:05

moiseev said:

Что касается базы, то её как таковой нет. Как пример можно привести какой-нибудь FaceBook-подобный сервис. Допустим есть желание встроить в свою страницу FaceBook'a свою Твиттер ленту. (Я понимаю, что сейчас это возможно, правда не знаю как, но врядли через OAuth). Так вот. От Твиттера в данном случае будет требоваться возможность выдать в ответ на запрос пользователя некий security token, а FaceBook в свою очередь должен этот token сохранить, чтобы при следующем обращении не спрашивать пароля у пользователя.

# октября 10, 2007 14:08

moiseev said:

> Иными словами, в базах данного сервиса будут храниться все адреса, с которых запрашивалась авторизация для данного логина. Полезная информация :-)

В общем случае это не совсем так.

Продолжая пример с FaceBook и Twitter. Я-пользователь, хочу чтобы в моём профиле в ФейсБуке показывались мои твиты. Я говорю "добавить сервис Твиттер". В этот прекрасный момент меня переадресовывает на форму аутентификации Твиттера и спрашивает мой логин-пароль. Ключевой момент здесь в том, что мне надо как-то вернуться обратно, причём с идентификацией того, что аутентификация пройдена и всё такое. Поэтому твиттеру в параметрах URL передаётся строка 'Next', которая представляет собой ни что иное как УРЛ для возврата. Чисто теоретически эту строку можно сохранять, ибо никакая информация не бывает полностью бесполезной.

# октября 10, 2007 14:19
Anonymous comments are disabled