Använd din egen URL som OpenID
Jag älskar idén med OpenID och hoppas verkligen att det slår igenom på allvar. Det vore minst sagt skönt att kunna använda samma inloggning på alla webbplatser. Den senaste tiden har jag satt mig in i den tekniska biten bakom OpenID lite mer, eftersom vi valt att integrera OpenID-stöd på Wishlistr. Och nu tänkte jag bjuda på ett enkelt sätt att använda din egen URL som ditt OpenID.
Låt säga att jag vill ha adressen »http://digitalvenues.se« som mitt OpenID. Egentligen innebär det då att jag måste implementera en egen OpenID-server för att hantera verifieringen av min indentitet. Vilket kan vara lite krångligt och omständligt, även fast det idag finns bra ramverk för detta.
Ett enklare sätt är att använda en extern part som tillhandahåller en OpenID-tjänst, så som till exempel MyOpenID och sedan delegera autentiseringsförfrågningarna dit, när de kommer till digitalvenues.se. Det enda som behövs för detta är följande kodsnutt i HTML-dokumentets <head>-sektion på digitalvenues.se:
Fördelen med detta är — förutom att jag enkelt kan använda en URL jag själv äger — att jag får mer kontroll över mitt OpenID. Om jag någon gång skulle vilja byta till en annan OpenID-tjänst av någon anledning så behöver jag bara uppdatera koden på min sida som talar om till vem jag vill överlämna autentiseringen. Vilket är bra mycket enklare än att uppdatera eller skaffa nya konton på alla de webbplatser där jag identifierar mig med mitt OpenID.
5 kommentarer till »Använd din egen URL som OpenID«
Kommentarer
Lämna en kommentar
Du kan följa kommentarerna till inlägget via RSS. Radbrytningar och paragrafer skapas automatiskt. Viss HTML är tillåten: <a href=""> <em> <strong>.
Det är synd att Passport är propietärt, annars hade det kunnat fungera som en universal mekanism för identifiering.
Problemet med OpenId är att det inte ens är [ett förslag till] en standard. Om ett par stora webbutiket implementerar OpenId så kanske populariteten ökas, men det kommer antagligen inte hända eftersom större organisation brukar luta sig mot standarder.
Sant. Det behövs en hel del arbete och inte minst, som du säger, att några jättar ställer sig bakom OpenID för att det ska börja användas av andra än bara nördiga early adopters. Men det sägs ju att Microsoft arbetar tillsammans med OpenID-communityt, för att bland annat integrera OpenID-stöd i Windows Vista. Och Mozilla vill ha stöd för det i Firefox. Så OpenID kan mycket väl få ett bredare användande framöver, tror jag.
Sen, för att förtydliga, så är det väl egentligen inte OpenID i sig som jag gillar. Utan snarare tanken på att enkelt kunna identifiera sig digitalt.
Jag fattar inte varför OpenID är bra.
Det enda OpenID gör är att ge mig enkel inloggning till webbplatser, och försäkrar mig om ingen annan använder min valda identitet på webbplatsen. Det är en väldigt begränsad nytta. Identitet är inte vem man väljer att utge sig för, utan vem man verkligen är. Med openID kan ingen veta att jag är jag, som med ett riktigt ID-kort.OpenID ger ingen _identitet_.
OpenID funkar därför bara ena hållet, jag vet att webbplatsen inte släpper in någon annan som mig. Men webbplatsen kan inte veta vem jag verkligen är. Typ om jag vill titta på min journal på sjukhuset, eller se hur mycket restskatt jag får, eller kolla varför mina barn har sjukfrånvaro i skolan. Sånt ska självklart bara visas för just mig - till min identitet i samhället, inte till ett självvalt alias på nätet. Därför måste jag kunna visa att jag är jag på riktigt. Det är helt omöjligt med ett ID som jag själv skapar och inte har någon tredje part som intygar min identitet (som utfärdaren av ett riktigt certifikat gör)
Jag testade själv att skaffa ett OpenID från Verisign. Det var ingen identitetskontroll alls, hade jag skrivit att jag var kungen så hade den accepterat det. Dessutom inget krav alls på säkert passord för själva ID’t. Jag kan välja vilket skitpassord jag vill och därmed är hela certifikatet svagt. Dessutom kan webben jag loggar in i inte veta hur bra eller dåligt passord jag har, den kan alltså inte veta om mitt ID är säkert eller inte.
Värdelöst !!
Bloggy.se stödjer numera OpenID för inloggning, se http://jonasl.bloggy.se/nu-gar-det-att-pa-test/
Jonas Wiman
Finessen är att DU har ETT inloggningssätt till MÅNGA (alla?) dina konton. Du behöver bara logga in en gång per session.
Dessutom vet DU att det är du som loggat in. För med inloggningsnamn/lösenord så ser du det id som den andra väljer. Så andra har fortfarande inte någon aning vem som gömmer sig bakom aliaset.
OpenID handlar inte om att skydda MIN ID så att JAG har samma inloggning på alla ställen, även om det är något som uppstår som en bieffekt. DU kan fortfarande inte veta det, eftersom många ställen så kan JAG sätta in ett annat alias än mitt inloggningsnamn/OpenID-identitet.
Men det är inte det problemet som OpenID löser. Att DU skall veta vem JAG som skriver i bloggen är. Det är till för att JAG skall veta att JAG skall ha säker inloggning, utan att behöva hantera massa lösenord.
Så om DU inte vet vem jag är bryr jag mig inte om, bara jag och den som äger siten vet att det är samma person som loggar in på samma ställe hela tiden, och inte någon som stulit mitt ID på den siten. Dessutom är det inte länger den som har siten som behöver hantera bortglömda lösenord etc. Ej heller hitta på olika sätt att se till att den som loggar in väljer tillräckligt bra lösenord, det ligger fortfarande på användarens ansvar. Och eftersom lösenordet inte ligger i de olika siter som jag loggar in på, så är stulna databaser inte längre något problem, så länge något inloggningsnamn och lösenord inte sparas i siten. DET är jättebra, fråga polisen som blev av med sitt lösenord till sin privatmail pga stöld av lösenordsdatabas.
Det du frågar efter är något annat, som inte har med OpenID att göra. Sök på PGP istället, certifikat och digital signatur. Det är något helt annat och är det du söker.