Schlagwort: OpenID

OpenID (englisch: offene Identifikation) ist ein dezentrales Authentifizierungssystem für Webseiten und andere webbasierte Dienste. Mehr über OpenID unter: OpenID.net

  • BrowserID

    Ich schreibe gerade einen Artikel für das t3n Magazin über aktuelle Sign-In-Mechanismen und hab mir in dem Zuge BrowserID mal etwas genauer angeschaut. Ich bin wirklich extrem überrascht mit wie wenig Arbeit es sich in z.B. WordPress einbauen lässt.

    BrowserID besteht eigentlich nur aus einem JS-File,ein paar Zeilen JS-Code:

    <script src="https://browserid.org/include.js" type="text/javascript"></script>
<script type="text/javascript">
navigator.id.get(function(assertion) {
    if (assertion) {
        // This code will be invoked once the user has successfully
        // selected an email address they control to sign in with.
    } else {
        // something went wrong!  the user isn't logged in.
    }
});
</script>Code-Sprache: HTML, XML (xml)

    und dem anschließenden Verifizieren der assertion:

    $ curl -d "assertion=&audience=https://mysite.com" "https://browserid.org/verify"
{
    "status": "okay",
    "email": "lloyd@example.com",
    "audience": "https://mysite.com",
    "expires": 1308859352261,
    "issuer": "browserid.org"
}Code-Sprache: JavaScript (javascript)

    Den ausführlichen Ablauf der Authentifizierung findet ihr auf Github.

    Um BrowserID in WordPress zu integrieren lädt man also zuerst den JS-Code in den Login Header:

    // add the BrowserID javascript-code to the header
add_action('login_head', 'bi_add_js_header');
function bi_add_js_header() {
  echo '<script src="https://browserid.org/include.js" type="text/javascript"></script>';
  echo '<script type="text/javascript">'."\n";
  echo 'function browser_id_login() {
    navigator.id.get(function(assertion) {
      if (assertion) {
        window.location="' . get_site_url(null, '/') .'?browser_id_assertion=" + assertion;
      } else {
        // do nothing!
      }
    })
  };'."\n";
  echo '</script>';
}Code-Sprache: PHP (php)

    und platziert den BrowserID-Button auf der Login-Seite:

    // add the login button
add_action('login_form', 'bi_add_button');
function bi_add_button() {
  echo '<p><a href="#" onclick="return browser_id_login();"><img src="https://browserid.org/i/sign_in_blue.png" style="border: 0;" /></a></p>';
}Code-Sprache: HTML, XML (xml)

    Nach dem klick auf den Button öffnet sich das Autorisierungs-Fenster von BrowserID und nach dem erfolgreichen Sign-In wird die gerade implementierte Methode navigator.id.get(function(assertion) {} aufgerufen.

    BrowserID login window

    Im nächsten Schritt muß man die erhaltene assertion über BrowserID.org verifizieren. Da ich den notwendigen POST nicht über JavaScript absetzen will, leite ich einfach auf eine Seite weiter und übergebe die erhaltene assertion als GET-Paramater.

    if (assertion) {
  window.location="' . get_site_url(null, '/') .'?browser_id_assertion=" + assertion;
}Code-Sprache: JavaScript (javascript)

    Jetzt kann der POST bequem über WordPress abgesetzt werden.

    // the verification code
add_action('parse_request', 'bi_verify_id');
function bi_verify_id() {
  global $wp_query, $wp, $user;

  if( array_key_exists('browser_id_assertion', $wp->query_vars) ) {
    // some settings for the post request
    $args = array(
      'method' => 'POST',
      'timeout' => 30,
      'redirection' => 0,
      'httpversion' => '1.0',
      'blocking' => true,
      'headers' => array(),
      'body' => array(
        'assertion' => $wp->query_vars['browser_id_assertion'], // the assertion number we get from the js
        'audience' => "http://".$_SERVER['HTTP_HOST'] // the server host
      ),
      'cookies' => array(),
      'sslverify' => 0
    );

    // check the response
    $response = wp_remote_post("https://browserid.org/verify", $args);

    if (!is_wp_error($response)) {
      $bi_response = json_decode($response['body'], true);

      // if everything is ok, check if there is a user with this email address
      if ($bi_response['status'] == 'okay') {
        $userdata = get_user_by('email', $bi_response['email']);
        if ($userdata) {
          $user = new WP_User($userdata->ID);
          wp_set_current_user($userdata->ID, $userdata->user_login);
          wp_set_auth_cookie($userdata->ID, $rememberme);
          do_action('wp_login', $userdata->user_login);

          wp_redirect(home_url());
          exit;
        } else {
          // show error when there is no matching user
          echo "no user with email address '" . $bi_response['email'] . "'"; 
          exit;
        }
      }
    }
    
    // show error if something didn't work well
    echo "error logging in"; 
    exit;
  }
}Code-Sprache: PHP (php)

    Gibt es einen User mit der entsprechenden E-Mail – Adresse wird er eingeloggt, falls nicht, wird ein Fehler ausgegeben.

    Bei der Demo hab ich mir aus Zeitgründen ein wenig Code bei Marcel Bokhorst geliehen, dessen BrowserID-Plugin wesentlich ausgereifter und vollständiger ist als der kleine Demo-Code den ich hier zusammengestückelt habe.

    Wenn euch das zu schnell ging und ich auf einige Details nicht genügend eingegangen bin, könnt ihr gerne fragen 🙂

    Ich habe den kompletten Code übrigens auch auf Github hochgeladen… das ist einfacher als sich alles zusammen zu kopieren.

    6 Kommentare zu BrowserID – as easy as copy & paste

  • Was das OpenWeb so kompliziert macht ist das Wörtchen „alternativ„!

    • OpenID Discovery basiert auf Meta-Tags, alternativ funktioniert aber auch XRDS(-Simple)/Yadis oder Webfinger.
    • OpenID stellt über SREG Profilinformationen bereit, alternativ aber auch über Attribute Exchange.
    • RDFa 1.1 ist folgendermaßen aufgebaut: <html prefix="foaf: http://xmlns.com/foaf/0.1/" > ... <span property="foaf:name">John Doe</span> ... </html> alternativ aber auch: <div vocab="http://xmlns.com/foaf/0.1/" about="#me"> <span property="name">John Doe</span> </div> …oder: <div profile="http://xmlns.com/foaf/0.1/" about="#me"> <span property="foaf:name">John Doe</span> </div>
    • OpenSocial, oEmbed, ActivityStrea.ms und host-meta benutzen JSON, alternativ aber auch XML
    • OAuth verschlüsselt mit HMAC-SHA1, alternativ aber auch mit RSA-SHA1 oder PLAINTEXT

    To be continued…

    Wie viel Komplexität man sich sparen könnte wenn man sich auf eine Variante beschränken würde.

    2 Kommentare zu oAlternative

  • …und das Open Web kennt mindestens genau so viele Wörter für „Name“!

    Ich hab mir letzte Woche mal den aktuellen Draft von OpenID Connect angeschaut und mich riesig gefreut, dass die OpenID-Community ihrer Linie treu bleibt und dem User-Schema wieder komplett neue Bezeichnungen gibt. Aber das scheint ein genereller Spaß in OpenWeb-Kreisen zu sein. Ich hab mir mal einen Spaß d’raus gemacht einzelne Bezeichnungen verschiedener „Standards“ die mit Profil/User-Infos zu tun haben, zu vergleichen.

    Claims für den kompletten „Namen“ eines Users:

    • fn (vCard, hCard)
    • name (foaf, OpenID Connect, Facebook Connect, schema.org)
    • fullname (OpenID SREG)
    • namePerson (OpenID AX)
    • displayName (Portable Contacts, Open Social, Activity Streams)

    Claims für den „Nachnamen“ eines Users:

    • given name (vCard)
    • given-name (hCard)
    • lastName (foaf)
    • family_name (OpenID Connect, Facebook Connect)
    • namePerson/last (OpenID AX)
    • givenName (Portable Contact, Open Social)

    Gut dass wir das W3C, die WHATWG, die IETF und diverse ander Standard-Organisationen haben die in jahrelanger Arbeit, Standards wie RDF, XML, JSON, RDFa und Microdata spezifizieren und dann jeder, wie er gerade bock hat, ein Schema dafür baut 😀

    Schema.org und das Open Graph Protocol sind perfekte Beispiele dafür, wie man gekonnt bestehene Schemas ignoriert und einfach macht, wie man denkt!

    P.S. Ich weiß dass man die Bezeichnung „Eskimo“ eigentlich nicht mehr benutzt und wehe mir nimmt jemand den Mythos mit den 90 Wörtern für Schnee 😉

    2 Kommentare zu Eskimos haben 90 Wörter für Schnee…

  • Das MyProfile-Project ist der erste (glaube ich zumindest) produktive WebID-Provider. Ich bin zwar immer noch kein wirklicher Freund von FoaF, SIOC und dem ganzen Semantic-Web Zeugs, aber vielleicht ist WebID ja wirklich eine alternative zu OpenID… Ich lasse mich gerne überraschen 🙂

    MyProfile intends to provide a solution for managing the numerous accounts and profiles that users have on the Internet. Its main purpose is to provide a unified user account, or simply ‘user profile’, which as opposed to current ‘silo’ profiles, would really be under the user’s control, on a device controlled by the user.

    Es gibt übrigens auch einen OpenWebPodcast zum Thema WebID

    Keine Kommentare zu MyProfile-Project

  • Neben all den negativen Meldungen endlich mal wieder ein Highlight für OpenID: Seit dieser Woche ist PayPal offizieller OpenID-Provider mit allen Schikanen (OpenID 2.0, OpenID Simple Registration, OpenID attribute exchange, OpenID user interface, PAPE specification).

    Die Meldung ist nicht nur erfreulich, sondern vielleicht auch die Rettung des etwas angeschlagenen offenen Standards. Trotz des eher hinkenden Vergleichs, wurde OpenID immer mit dem Erfolg von Facebook Connect gemessen. Die OIDF hat es durchweg versäumt den Standard als reines „Werkzeug“ sehen und die Produkte basierend auf OpenID zu promoten. Wie ich schon im Webstandards-Magazin (Ausgabe 9: Pfefferles OpenWeb) schrieb:

    Facebook Connect ist nicht wegen seinem proprietären System so erfolgreich und der Misserfolg von MySpaceID hat nichts mit den benutzten offenen Standards zu tun. Promote the utility not the technologie. To reach the majority of users who aren’t familiar with OpenID as a technology, promote the ability to log in using an existing account, not „OpenID“ itself. Ich würde sagen das Problem liegt nicht am Protokoll sondern an den fehlenden sinnvollen Anwendungsfällen. OpenID funktioniert überall da, wo der User einen Nutzen hat ohne zu wissen was unter der Oberfläche passiert, beispielsweise „Sign in with Google“ oder „Sign in with Yahoo!“. Wo bleiben also die Killerapplikationen wie z.B. Paypals angekündigtes Express Checkout auf Basis von OpenID?

    Reines Single-Sign-On ist ein Geek-Thema und scheint wohl kein generelles Bedürfnis zu befriedigen. Ein „Mit einem Klick-Bezahlen“ ist dagegen eine enorme Chance für Einkäufer und kleine Verkäufer. Wo man bisher, oft durch die langwierige Anmeldung und das hinterlegen der Kontodaten, trotz günstigerer Angebote doch wieder bei Amazon bestellt hat, bietet PayPal in Zukunft vielleicht die Lösung: Schnelles, unkompliziertes und sicheres Einkaufen mit einem „Klick“.

    Hoch lebe OpenID 🙂

    3 Kommentare zu PayPal: Die letzte Chance für OpenID?

  • Das W3C startet einen Identity in the Browser Workshop:

    As the Web becomes increasingly a focal point for economic and social activity, there is an urgent need for trustworthy, widely-applicable digital identity management. This includes the need for authentication and authorization to work across multiple web-sites, enterprises, devices, and browsers in a uniform and easy-to-use manner.

    Leider scheint Chris Messina nicht dabei zu sein… mir hat seine damalige Konzeptstudie sehr gut gefallen!

    Keine Kommentare zu W3C Workshop on Identity in the Browser

  • OpenID.net hat einen kleinen Ausblick auf die nächste OpenID Version veröffentlicht… Eine Mischung aus OpenID Connect, OAuth 2 und einer Menge JSON-APIs. Schade dass Webfinger scheinbar nicht berücksichtigt wurde und statt dessen die Simple Web Discovery zum Zuge kommt.

    2 Kommentare zu OpenID ABC

  • Am Freitag ist es wieder soweit: Ausgabe 9 des Webstandards-Magazins kommt in die Bahnhofs- und Flughafen-Buchhandel. In der OpenWeb Kolumne geht es diesmal um folgendes:

    Negative Nachrichten dominierten in den vergangenen Wochen das Geschehen im OpenWeb: RSS ist tot und die Zukunft von delicious ist ungewiss. Ganz abgesehen von der Diskussion um die Zukunft von OpenID.

    …und wie immer würde ich mich sehr über Feedback freuen 🙂

    Keine Kommentare zu Webstandards-Magazin (Ausgabe 09)

  • ,

    Google veröffentlicht Tests mit OpenID
    Google hat vor einigen Tagen ein paar nette Dokumente/Demos/Videos veröffentlicht, die die Implementierung von OpenID vereinfachen soll.

    The website at openidsamplestore.com was built to demonstrate how a website that already allows users to login can help those users (and new users) leverage OpenID to login.

    OpenID-Provider gibt es genug, jetzt ist es an der Zeit auch mal ein paar Relying Parties zu bauen.

    » Google’s Internet Identity Research – Overview of OpenIDSampleStore
    » OpenID Sample Store
    » OpenID Videos

    Extensible Resource Descriptor
    Am 1. November wurde die erste finale Version von XRD veröffentlicht. XRD ist eine Art API-Beschreibung in XML und eine vereinfachte Variante von XRDS/XRDS-Simple (wird z.B. von OpenSocial verwendet), außerdem basieren OStatus und Webfinger auf XRD.

    » Extensible Resource Descriptor (XRD) Version 1.0
    » XRDS-Simple 1.0 Draft 1

    Simple Web Discovery
    XRD ist, wie schon erwähnt, wesentlich simpler als XRDS oder XRDS -Simple, aber manchen ist es immer noch zu komplex.

    Simple Web Discovery (SWD) defines a HTTPS GET based mechanism to discover the location of a given type of service for a given principal starting only with a domain name.

    » Simple Web Discovery (SWD)

    Ach ja… Carsten Pötter bloggt übrigens wieder über OpenID. Lesen!

    2 Kommentare zu OpenWeb-Notizen: OpenID, XRD 1.0, Simple Web Discovery

  • ,

    SWAT0
    Die federated social web-Community ruft den Social Web Acid Test – Level 0 ins Leben.

    user A takes a photo of B from their phone and posts it, B gets notified that they are in a photo, C who follows A gets the photo and leaves a comment, A and B get notified of the comment, where users are on at least 2 (ideally 3) different services each of which is built with a different code base.

    » Social Web Acid Test (SWAT) v0 draft
    » SWAT0 – FederatedSocialWeb

    Papal ID == OpenID + Payment?
    Diese Grafik hab ich in einer Präsentation zu „The OpenID Foundation is looking for input from online retailers“ gefunden.

    …klingt spannend!

    » Quelle: The OpenID Foundation is looking for input from online retailers

    Open Mail Format
    Eine Anleitung wie man Microformats in HTML – E-Mails versteckt.

    The Open Mail Format allows notifications to be tagged so that automated agents (electronic mail services) can provide users with custom information based on the content of the email.

    OMF is based on the idea of microformats (http://microformats.org), which allow both humans and software to interpret the information encoded in the email. […]

    » What is Open Mail Format
    » Microformats

    Keine Kommentare zu OpenWeb-Notizen: SWAT, Paypal ID, Open Mail Format