Saturday, March 29th, 2008...5:28 pm

OpenID i CardSpace razem

Jump to Comments

O CardSpace i OpenID razem już chyba pisałem. W zasadzie jednak dotąd tylko w kontekście użycia karty CardSpace do zabezpieczenia procesu logowania do konta OpenID przed atakami typu phishing. W taki sposób korzysta z tej technologii chociażby MyOpenID.com.

Dzisiaj w trakcie dyskusji jeden z konsultantów z firmy zwrócił moją uwagę na inne zastosowanie CardSpace w połączeniu z OpenID, czyli OpenID InfoCard zaproponowane przez Sxip.

W dużym uproszczeniu: zamiast na stronie, na której chcemy się zalogować z użyciem naszego identyfikatora OpenID podawać URL do providera tej usługi możemy skorzystać z odpowiedniej karty CardSpace. Jednym z atrybutów (claim) tej karty jest URL OpenID, który strona pobiera i używa w dalszym procesie uwierzytelnienia nas do usługi. Dalej interakcja z OpenID przebiega już zgodnie ze specyfikacja OpenID. Na tym etapie ta sama karta może zostać użyta do zabezpieczenia procesu logowania po stronie providera OpenID.

Unikamy więc wprowadzania URL związanego z naszym identyfikatorem OpenID na stronie usługi i potencjalnie zabezpieczamy się przed przejęciem danych logowania do naszego profilu.

Dodatkowo zaleta dla aplikacji jest taka, że karta użyta do logowania na stronie usługi, może zawierać w ramach zestawu claims nie tylko URL providera OpenID ale również dodatkowe atrybuty takie jak informacja o e-mail czy o tym czy użytkownik jest pełnoletni. W całym procesie użytkownik zachowuje kontrolę nad tym co ujawnia, a claims są dostarczane przez IP więc można przyjąć je za potwierdzone i zaufane. Z punktu widzenia usługi \ aplikacji więc kilka pozytywnych askpektów też się znajdzie.

Tyle teoria, efekt jak najbardziej praktyczy w postaci odpowiedniej karty wygląda jak na poniższym obrazku:

Zarządzaną kartę można pobrać korzystając z usługi STS udostępnionej przez Sxip.

Praktyczne użycie do zalogowania się na stronie demo stworzonej przez Sxip:

 

 

Wysyłamy kartę i ….

Proste,  łatwe i przyjemne …

Przy okazji już tylko – Mike Arrington na Techcrunch pisał ostatnio o tym, że wielcy w postaci Yahoo, Google czy Microsfot deklarują wsparcie dla OpenID ale w zasadzie nie korzystają z tej technologii w ramach własnych usług. Michał na identity2.0 temat trochę pociągnął dalej pisząc o tym, że w zasadzie mamy wielu providerów OpenID co niestety nie idzie w parze z ilością konsumentów czyli relaying parties.

Może więc zamiast czekać aż wielcy zaczną takie rozwiązania stosować warto popracować na własnym podwórku – na przykład blip stworzony przez Michała również nie pozwala na użycie OpenID do zalogowania się do usługi. Moim skromnym zdaniem duża ilość nawet małych a popularnych usług wytworzy masę krytyczną tak samo jak adopcja OpenID czy CardSpace (czy też obu w sposób opisany w ramach tej notki) przez wielkich. Tak więc do pracy developerzy pracujący nad kolejną wielką aplikacją web2.0 … wiem, wiem … raczej nie czytają moich wypocin :).

P.S. Tak już całkiem na marginesie … fajnie widzieć jak technologie proponowane przez różnych producentów zaczynają działać razem żeby dostarczyć konkretne rozwiązanie. W tym przykładzie rozwiązanie dotyczy OpenID, oparte zostało na CardSpace z Microsoft, zaproponowane przez Sxip a samą karta została wydana przez STS stworzony w ramach projektu Higgins.

1 Comment

Leave a Reply