OpenID: celý internet s jedním loginem

Jeden login vládne všem. Tak by se dalo stručně charakterizovat to, co přináší OpenID, dnes asi nejznámější univerzální autentizační mechanismus.

Anonymita internetu láká. Na druhou stranu je to právě anonymita, resp. uživatelé jí zneužívající, kteří dokážou na internetu nadělat pořádnou paseku. Proto dnes většina serverů před zahájením jakékoliv aktivity vyžaduje registraci. Co když ale jen hledáte radu na zaheslovaném fóru nebo soubor, který není možné stáhnout jinde a nechce se vám kvůli tomuto jednomu úkonu dávat všanc informace důvěrného charakteru? Řešení existuje. Už téměř čtyři roky a jmenuje se OpenID.

O OpenID začalo být v Česku více slyšet až koncem loňského roku. To když Seznam spustil možnost přihlášení ke službám prostřednictvím tohoto decentralizovaného systému univerzální autentizace uživatele. A právě rok 2008 byl zatím pro OpenID rokem nejlepším.

Klepněte pro větší obrázek
Jak roste obliba OpenID

Jak OpenID funguje, jak získat novou vlastní univerzální identitu a jak třeba nasadit OpenID i na vlastní webové stránky?

Online občanka pro každého

Získat nový digitální OpenID „občanský průkaz“ není nic složitého. Stačí se zaregistrovat na některém z internetových serverů, které tuto službu poskytují. K nejznámějším patří v Česku OpenID.cz, otevřenou identitu můžete získat také registrací dnes již zmiňovaném Seznamu. Ze zahraničních patří k nejpoužívanějším myOpenID, claimID nebo myvidoop, asi nejlépe zabezpečený systém nabízí VeriSign Labs. Přihlásit svým uživatelským jménem se ale můžete i tehdy, používáte-li služby Blogger, Flickr, Yahoo nebo WordPress. Podrobnosti o tvaru univerzálního uživatelského jména a seznamu dalších služeb najdete zde.

Vybrat toho nejlepšího poskytovatele není jednoduché. Přesto se vyplatí nad výběrem služby nějakou chvíli strávit (pomocí může toto srovnání mezinárodních poskytovatelů). Každá společnost poskytující OpenID nabízí jiné možnosti přihlášení a nakládání s uživatelskými daty. Někde se budete přihlašovat jen standardně heslem, jinde po vás bude vyžadována identifikace SMS zprávou nebo jinou technologií. Právě výběrem serveru si zároveň vyberete úroveň zabezpečení.

Dnes je celkem běžně OpenID autentizace prováděna jen prostřednictvím uživatelského jména a hesla, což není zrovna nejbezpečnější. V budoucnu by ale mohl zabezpečovací mechanismus vyžadovat mnohem více. V současnosti je totiž rozpracována koncepce OpenID Provider Authentication Policy Extension, která bude vyžadovat vyšší stupeň zabezpečení přihlašovacího procesu. Samotné přihlášení by se tak v budoucnosti mohlo skládat z několika kroků příp. po uživateli vyžadovat některou z možností fyzické autentizace (Smartkarty, otisky prstů apod.).

Tip: Seznam internetových serverů a služeb, kde všude můžete OpenID pro přihlášení využít, najdete v OpenID Directory nebo na webu myOpenID.

Jedno jméno všude

Ještě trochu jednodušeji o OpenID. Samotné OpenID je v podstatě internetová adresa. Pokud ji zkusíte zadat do prohlížeče, pravděpodobně se žádné zajímavé informace nedočkáte. Tedy pokud nenahlédnete do zdrojového kódu. Z něj, konkrétně jeho hlavičky, je totiž okamžitě jasnější, jak OpenID funguje.

Klepněte pro větší obrázek Klepněte pro větší obrázek
OpenID můžete vyzkoušet třeba u Seznamu • OpenID v kódu

Zásadní informací v hlavičce je tzv. server endpoint, tedy určení toho, s jakou adresou má klient při komunikaci se serverem pracovat. Na koncový bod v kódu odkazují položky openid.server (pro OpenID v. 1.0/1.1), resp. openid2.provider (pro OpenID v. 2.0), proto musejí být v hlavičce uvedeny. Bez nich je identifikátor neplatný a přihlášení prostřednictvím OpenID není možné. Další parametry jsou nepovinné a závisí na konkrétní službě, zda jich využije či nikoliv.

OpenID byl ve svých začátcích hodně kritizován kvůli několika nejasnostem v kódu samotného mechanismu. Proto první verze 1.0 nevydržela dlouho a byla brzy nahrazena specifikací 1.1. Bezpečnostní opatření na současném internetu se však hýbou kupředu mílovými kroky, proto bylo v prosinci roku 2007 přijato další opatření v podobě aktualizované specifikace 2.0. Ta zatím vydržela až do současnosti.

Verze 2.0 přišla s několika novinkami. Mezi ně patří identifikátor poskytovatele, což je služba, kdy poskytovatel může povolit svým uživatelům přihlášení pod univerzální identitou. Takovým poskytovatelem by mohlo být např. Živě.cz, kdy by se všichni registrovaní čtenáři mohli autentizovat na OpenID serverech stejnou identitou id.zive.cz. Tato nová verze pracuje také s tzv. anonymními poskytovateli znemožňujícími sledování uživatelů podle unikátního identifikátoru.

Z dalších novinek stojí za zmínku zavedení nových postupů při předávání informací metodou HTTP POST nebo podpora atributů rozšiřujících objem přenášených informací.

Jak pak samotné přihlášení probíhá? Na webovém serveru, k němuž se chcete přihlásit, musíte nejdříve najít formulář pro přihlášení prostřednictvím OpenID. Ten je obvykle označen logem samotného projektu (Klepněte pro větší obrázek) a obsahuje jen jedno pole.

Klepněte pro větší obrázek
Přihlášení s OpenID

Zadáte své OpenID (např. pro uživatele služeb Seznamu ve tvaru uživatel.id.seznam.cz) a mechanismus přesměruje přihlášení na server, který otevřenou identitu provozuje. Nyní je třeba ověřit, zda jste jako uživatel oprávněn používat daný identifikátor. To provedete přihlášením nebo jinými autentizačními mechanismy.

Klepněte pro větší obrázek
Schéma ověření uživatele (zdroj: mozek.cz)

Po přihlášení je prohlížeč přesměrován zpět na stránky klienta, přičemž v URL příp. jinou metodou je předávána informace o úspěchu či selhání autentizace. Informace o přihlášení je z bezpečnostních důvodů následně ještě ověřena a v případě kladné odezvy můžete začít na serveru pracovat jako přihlášený uživatel.

Klepněte pro větší obrázek Klepněte pro větší obrázek
Klepněte pro větší obrázek Klepněte pro větší obrázek
Proces přihlašování přes OpenID

Tip: K jednoduché správě přihlašování prostřednictvím OpenID mechanismu můžete využít rozšíření Sxipper pro prohlížeče Firefox a Flock.

Vlastní OpenID alias snadno a rychle

Možná vás to při čtení předchozích odstavců už napadlo. Co takhle zjednodušit si adresu OpenID a místo složitého řetězce uživatel.id.seznam.cz apod. zadávat jen vybrané zjednodušené URL (např. zive.cz).Ano, je to možné. Zde mluvíme o použití tzv. OpenID aliasů.

Základními předpoklady pro provozování vlastního OpenID identifikátoru jsou vlastní internetová stránka/adresa a OpenID identifikátor na některé z výše zmiňovaných služeb (pro demonstraci použiji Seznam).

Do HTML kódu internetové stránky, kterou chcete využívat jako identifikátor, vložte následující:

<link rel="openid2.provider" href="http://id.szn.cz/openidserver" />
<link rel="openid.server" href="http://id.szn.cz/openidserver" />
<link rel="openid2.local_id" href="http://uživatel.id.seznam.cz/" />
<link rel="openid.delegate" href="http://uživatel.id.seznam.cz/" />
<meta http-equiv="X-XRDS-Location" content="http://uživatel.id.seznam.cz/yadis">

Poslední řádek přitom můžete vynechat, aniž by se nějak změnila funkčnost celého systému. Je zde jen pro některé služby využívající k autentizaci protokol Yadis.

Tip: Pokud vám takto jednoduchý návod nestačí a rádi byste zabředli do větších podrobností, pokračujte zde.

Adresa vás zavede na stránku s přihlášením k identitě uživatel. Uložte, nahrajte na server a je hotovo. Nyní je vaším OpenID vámi zvolená adresa. Toto řešení má ještě jednu výhodu. V případě, že byste z jakýchkoliv důvodů v budoucnu změnili poskytovatele autorizačních služeb, stačí ve zdrojovém kódu přepsat hodnoty pro nový autentizační server a nemusíte si zvykat na zadávání jiné OpenID identity.

I přes problémy, s nimiž se OpenID v Česku na začátku potýkal (nedostupnost tehdy jediného českého autorizačního serveru OpenID.cz), se zdá se blýská na lepší časy. Teď už musíme jen doufat, že české servery budou myslet více na uživatele a nebudou stůj co stůj stát za sbíráním vlastních uživatelských dat a loginů. Otázkou je, jak je k tomu přesvědčit, když právě specifická data o jednotlivých uživatelích jsou velmi cenným artiklem v následném obchodě s reklamou?

Témata článku: Web, Internet

18 komentářů

Nejnovější komentáře

  • BoB.Marvan 3. 2. 2009 13:30:32
    Vzhledem k pověstné "spolehlivosti" OpenID.cz a hlášce "Nepodařilo se...
  • Stanislav Vojíř 2. 2. 2009 13:33:13
    stejně většina lidí používá jedno, max. 2 hesla všude...
  • outsyder 2. 2. 2009 9:14:03
    navic seznam.cz evidentne propojeni prilis nezvlada. Testoval jsem to a...
Určitě si přečtěte

Monitory do 10 tisíc: poradíme, jaké jsou teď nejlepší

Monitory do 10 tisíc: poradíme, jaké jsou teď nejlepší

** Dobrý monitor s kvalitním panelem lze pořídit pod tři tisíce korun ** Pod deset tisíc si můžete koupit pracovní 27" monitor nebo nejlevnější použitelné 4K ** Vybrali jsme také ideální model pro vícemonitorovou konfiguraci

27.  11.  2016 | Stanislav Janů | 13

Sbíječky vyměnili za klávesnice. Nový projekt má za cíl přeučit horníky na programátory

Sbíječky vyměnili za klávesnice. Nový projekt má za cíl přeučit horníky na programátory

** Programátorů je málo a horníků bez práce po uzavření dolu Paskov bude moc ** Problém řeší unikátní projekt ** Pilotní kurz dává naději, že by z horníků mohli být použitelní kodéři

28.  11.  2016 | David Polesný | 76