Komentáře k článku

OpenID: Identity, aliasy a vlastní poskytovatel

OpenID identifikátory mají tvar URL adresy, která odkazuje na stránku OpenID identity u providera. V tomto článku si ukážeme, jak lze vytvořit alias a používat jako identifikátor např. adresu vlastní stránky. Taky si ukážeme, jak lze jednoduše nainstalovat a provozovat vlastní OpenID server pro jednoho uživatele a být tak třeba svým vlastním poskytovatelem.

Zpět na článek

16 komentářů k článku OpenID: Identity, aliasy a vlastní poskytovatel:

  1. ondra.novacisko.cz

    Škoda, že OpenID začíná být přeplácané
    Bývá to obecná vlastnost všech dobrých nápadů, že časem začne být přeplácaný. Zkuste si přečíst specifikaci poslední verze a zjistíte, že to je úplně jiný systém než verze 1.1. Tohle bohužel může tak pěkný projekt zahubit.

    Snad neprozradím nic tajného když řeknu, že při implementaci serveru v Seznamu s tím měli docela problémy, aby implementovali většinu featur. A bohužel to není konečná…

    1. Martin MalýAutor příspěvku

      Re: Škoda, že OpenID začíná být přeplácané
      Souhlasím… Jakmile se do OpenID nacpaly věci okolo XRDS a Yadis, tak nakynula knihovna i dokumentace, a přínos, nakolik mohu posoudit, je (zatím?) poměrně malý…

  2. ondra.novacisko.cz

    OpenID seznamu
    OpenId seznamu může také obsahovat doménu .id.email.cz

    Jinak kdo by chtěl stáhnout stránku s identitou tak v linuxu jednoduše přes wget

    wget /openid/ -O soubor

  3. burlog

    XRDS
    "Link na openid.server, resp. openid2.provider, je na stránce OpenID identity povinný."

    Ahoj,

    jen pro uplnost(v OpenID 2.0), pokud je ve hlavickach odpovedi(Discovery se vlastne sklada, ze tri casti – HEAD na hlavicky, GET na content a pak podle XRDS a nebo nakonec podle meta tagu.), pripadne ve strance odkaz na XRDS dokument, tak tam meta tagy s relation openid.server nebo openid2.provider. RP si pak stahne XRDS dokument, kde by mela najit vse vcetne lokalni identity a podporovanych extension.

    1. Martin MalýAutor příspěvku

      Re: XRDS
      Děkuji za doplnění, já nechtěl zabíhat až do takových podrobností a motat do toho ještě XRDS. Někdy na něj možná přijde doba, v tuhle chvíli mi připadalo potřebnější, vzhledem k úrovni povědomí o OpenID, ukázat aspoň možnost vytvoření "vlastní identity".

  4. drsnacek

    OpenID vs. digit. certifikat
    Omlouvam se za lamersky dotaz… Pro prihlaseni na ruzne zabezpecene servery (banky apod.) pouzivam digitalni certifikat(-y), lze s nim i podepisovat, sifrovat apod. Proc neni vytvoren jakysi digitalni certifikat, ktery by identifikoval cloveka (on vlastne je – zaruceny digitalni "podpis") a pomoci nehoz bych se mohl kamkoliv prihlasit (jako do te banky)? Je to z duvodu slozitosti zpracovani na strane serveru pozadovane sluzby?

    OpenID jsem pochopil jako univerzalni autorizacni server, na ktery se prihlasim a on me autorizuje u sluzby, kterou pozaduji…

    1. Jan Tvrdík

      Re: OpenID vs. digit. certifikat
      Pokud vím, tak specifikace OpenID nedefinuje způsob autorizace, takže v budoucnu by mělo být něco podobného možné.

      1. drsnacek

        Re: OpenID vs. digit. certifikat
        Aha, takze bych se pomoci certifikatu prihlasil na server poskytovatele OpenID. Ale slo by udelat system, ktery by poskytovatele OpenID vynechal? Ze bych se prihlasoval certifikatem rovnou do jednotlivych sluzeb? Co by potom spravce sluzby musel mit k dispozici?

        1. Martin MalýAutor příspěvku

          Re: OpenID vs. digit. certifikat
          Ano, šlo by to, ale správce každé služby, do níž byste se chtěl přihlásit, by musel podporovat NĚJAK autentizaci a implementovat mechanismus pro přihlašování via certifikát.

          Specifikace OpenID 2 přišla s rozšířením PAPE, které umožňuje klientovi požadovat, aby OpenID poskytovatel ověřil člověka více způsoby – např. jménem a heslem + algoritmem challenge/response. Navíc umožňuje požadovat, aby jeden z těchto způsobů ověření byl "fyzikální", tedy pomocí nějaké hmotné věci, co uživatel musí mít (USB dongle, čtečka otisků prstů, "kalkulačka" na kódy, …)

          Výhoda podobného postupu je ta, že vy si můžete vybrat poskytovatele, který vás ověří pomocí certifikátu, a takto ověřen se můžete přihlásit na LIBOVOLNOU službu, která podporuje OpenID – odpadá tedy nutnost implementace konkrétní metody ze strany služby. A pravděpodobnější je, že naleznete takového OpenID poskytovatele, než že všechny služby implementují všechny možné způsoby ověřování. :)

    2. petr_p

      Re: OpenID vs. digit. certifikat
      Drobný problém s českým zaručeným certifikátem je, že s ním můžete pouze podepisovat. Takže autentizaci tímto certifikátem lze udělat pouze krkolomným způsobem, kdy server pošle text, uživatel si jej přečte, podepíše, a podpis odešle zpět.

      1. drsnacek

        Re: OpenID vs. digit. certifikat
        Toje zajimave, to jsem nevedel… ale jak tedy bude narocne provozovat sluzbu (dejme tomu webove rozhrani pro mailovy server nebo webove forum), do ktere by se uzivatele prihlasovali certifikatem? Jak probehne vyhodnoceni autentizace z pohledu serveru, co vsechno budu muset na serveru mit a co pozadovat odjinud?

        1. drsnacek

          Re: OpenID vs. digit. certifikat
          Nasel jsem zpusob pouziti certifikatu SSH pro autentizaci – prijde mi to na strane serveru neprilis slozite (kdyztak me vyvedte z omylu…):

          In brief, certificate authentication works in the following way:

          * The client sends the user certificate (which inludes the user's public key) to the server.
          * The server uses the CA certificate to check that the user's certificate is valid.
          * The server uses the user certificate to check from its mapping file(s) whether login is allowed or not.
          * Finally, if connection is allowed, the server makes sure that the user has a valid private key by using a challenge.

          Porad mi prijde, ze kdyby se zavedlo pouzivani jednotneho overeneho certifikatu pro prihlasovani k ruznym sluzbam, tak je to jednoduzsi, nez OpenID a spol. ?? Neco ve stylu certifikatu overeneho digit. podpisu, ktery by ale umoznoval vice funkci, nez jen podepisovat maily…

          1. Martin MalýAutor příspěvku

            Re: OpenID vs. digit. certifikat
            Technologicky to je podobné. I zde server ověřuje u někoho třetího (u CA), zda certifikát platí. Jinak ohledně výhodnosti viz výše – než implementovat přihlašování via digitální podpis (jste si jist, že US server bude znát naše CA?) na všech službách, je jednodušší implementovat OpenID a implementaci přihlašování certifikátem (a třeba čtečkou otisků, USB donglem, čtečkou sítnice, …) požadovat od OpenID poskytovatelů.

            1. xzajox

              Re: OpenID vs. digit. certifikat
              aj podla mňa by namiesto rozširovania certifikátu bolo lepšie opačný postup –
              pridať ku OpenID certifikaciu.

              Najlepšie by bolo asi takto –
              1. Relying party by komunikovala s Providerom že či je to moje OpenID,
              2. potom, ak by chcela aj certifikát, skontaktovala by Certifikačnú autoritu v mojej krajine a overila či moj OpenID je aj certifikovaný (tam by som musel ist raz realne s občiankou)
              3. uznala a použila by moje certifikované OpenID napr. na digitálny podpis

              :) ak som úplne mimo, pls ignorujte

  5. Magnesium2

    Alias

    Chtěl bych se zeptat čím to, že když zadám svůj vlastní alias, tak se to přepíše na http://mojeID.myopenid.com/xrds.
    Chtěl jsem tohle řešení používat kvůli případné změně providera, ale když bych chtěl změnit providera, tak bych stejně potom musel všude měnit svůj identifikátor místo aby tam zůstal alias mého webu a jenom se přihlašoval přes někoho jiného a smysl mého aliasu by se vytratil …

Napsat komentář

Tato diskuse je již příliš stará, pravděpodobně již vám nikdo neodpoví. Pokud se chcete na něco zeptat, použijte diskusní server Devel.cz

Zdroj: https://www.zdrojak.cz/?p=2914