OpenID w IPSec.PL

Nasz serwis jako jeden z pierwszych w Polsce przyjmuje loginy OpenID. Krótki poradnik jak z tego skorzystać - na końcu artykułu.

OpenID to, w skrócie, jeden login do wielu serwisów, zamiast oddzielnego loginu w każdym z nich. Zamiast zakładać i weryfikować konto w każdym forum, portalu czy serwisie aukcyjnym z którego chcemy korzystać, konto zakładamy raz. Logując się do nowego serwisu podajemy tylko nasz login OpenID, a serwis pobiera nasze dane (imię, nazwisko, email) z serwera OpenID.

Zalety - wygoda wynikająca z pamiętania tylko jednego loginu, brak konieczności pamiętania z jakiego loginu korzystamy akurat w tym serwisie (bo wszędzie mamy ten sam) i brak konieczności dodatkowej inicjalizacji konta, jeśli jeszcze go nie mieliśmy. Również zmiana któregoś z parametrów (np. emaila) jest dokonywana tylko na jednym serwerze. Po drugie - większa kontrola nad naszymi danymi. Serwer OpenID pilnuje tego, komu wydaje informacje o nas, a my decydujemy kto i jakie dane może otrzymać.

Wada - koncentracja wrażliwych danych w jednym miejscu oraz niestety ryzyko, że jeśli ktoś przechwyci nasz login i hasło OpenID to uzyska dostęp do wszystkich serwisów z naszą tożsamością - nie tylko tych, z których korzystamy na codzień.

Warto pamiętać, że polski serwer OpenID to serwer eksperymentalny i nie ma jeszcze np. certyfikatu SSL, co dyskwalifikuje go na razie do zastosowań wiążących się z odpowiedzialnością finansowa. Jednak dzięki niemu można testować to rozwiązanie, co być może doprowadzi w przyszłości do rozwoju profesjonalnych usług zarządzania tożsamością. Na dzień dzisiejszy jest to jednak świetna propozycja dla wszelkich blogów, forów i grup dyskusyjnych, gdzie zarządzanie tożsamością jest niezwykle uciążliwe.

Dużą zaletą architektury OpenID jest jej faktyczna otwartość nie tylko na poziomie standardów, ale i na poziomie organizacyjnym - jeśli nie podoba nam się dany serwer OpenID, to możemy postawić sobie własny i będzie on traktowany jak każdy inny bo login OpenID zawiera równocześnie adres serwera.

Jak zalogować się po OpenID?

Liczba serwerów obsługujących OpenID szybko rośnie, niedawno dołączył do nich m.in. ImageShack czyli nie jest to już “zabawka dla hackerów”. Co zrobić aby przetestować OpenID na IPSec.pl?

1. Wchodzimy na OpenID.pl i zakładamy konto. Otrzymujemy login OpenID (np. krawczyk.openid.pl).
2. Wracamy na stronę IPSec.pl, gdzie po lewej stronie jest okienko OpenID login. Wpisujemy tam nasz login OpenID.
3. Po kliknięciu OK wracamy do serwisu OpenID, który pyta się czy na pewno chcemy zalogować się do IPSec.PL, a jeśli tak to jakie dane można mu udostępnić (profil).
4. Po dokonaniu wyboru wracamy do IPsec.pl, gdzie jesteśmy już zalogowanym użytkownikiem i możemy komentować, pisać na forum itd. </ol> System Drupal, na którym działa mój serwis, ma drobną niedogodność, a mianowicie wymaga podania adresu email i nazwy użytkownika, które teoretycznie powinien sam pobrać z serwera. Podobne problemy zauważyłem w Wordpressie. Jak dodać OpenID do Drupala? Ponieważ istnieje już gotowy moduł OpenID do Drupala, więc po prostu wystarczy go doinstalować. Wymaga on jeszcze zewnętrznej biblioteki PHP OpenID.
   1. ze strony http://www.openidenabled.com/openid/libraries/php pobrałem bibliotekę PHP OpenID i przystąpiłem do instalacji
   2. ponieważ nie mam na swoim serwerze hostingowym shella, więc nie mogłem użyć instalacji PEAR opisanej na w/w stronie - wobec tego pobrałem ręcznie tar.gz z podanego tam URL
   3. bibliotekę zainstalowałem ręcznie, tzn. przez FTP wrzuciłem katalogi Auth i Service do katalogu na serwerze WWW, a następnie do php.ini dodałem tę ścieżkę do include_path
   4. do katalogu Drupala modules wrzuciłem moduł OpenID pobrany ze strony http://drupal.org/project/openid
   5. po wejściu na admina w Drupalu włączyłem moduł w menu modułów i dodałem blok "OpenID login" - i koniec. </ol> Inne polecane
      • "Zamieszanie z hasłami" - mój artykuł w serwisie SecurityStandard.pl poświęcony problemom z zarządzaniem hasłami </ul>