OpenID Tech Night Vol.6に出てきた
- すいません。自分メモなので理解できておらずいい加減です。
- Phill Wndley
- Subject/Entity
- Indentyty Attribute(自分情報)
- 形式
- 名前、男、日本
- 属性
- 所属、住所、アドレス
- 関係性
- 業務経歴
- 形式
- Web Identity Technology
- インターネットで自分情報を安全に流通させ、サイト同士の連携を行う
- OpenID OAuth
- すぐ試せせる、Webと相性がいい
- 2007 OpenID2.0
- 2009 OAuth1.0
- 認証と認可
- 認証
- あー誰
- 認可
- キミだったらいいよ
- 認証
- OpenID
- 認証結果+属性情報を主にブラウザを介して安全に流通
- OAuth
- 認可
OpenID
AX
- Yahooの方
- 2008,1 リリース OpenID2.0対応
- 2010 Attribute XChange
- サーバ構成
- フロントエンド(同意画面)サーバ
- OpenIdサーバ
- 属性情報 Y!プロフィールの専用DB
- UA Rp OP
- 同意画面
- Attribute XExchange Flow
- 提供している属性情報
- 画像、表示名、姓、名
- AX Request
- 属性情報 requireで定義
- AX UI
- 同意画面
- AX Response
- 長すぎ
- AX Spec
- Assertion URLが長すぎる
- 2000自以上だとPOSTに切り替え
- Assertion URLが長すぎる
- Store Requsetいらない
- UI Extension(POP)
- UI Spece
- ポップアップはなー
- 450 500は厳しい
- popup画面から導線に注意
- 汎用的なUIが望ましい
Yahoo OpenIDランキング
NTT IDログインサービス紹介
- NTTコミュの方
- 5/14から開始
- NTTDocomo, れぞなんと、こみゅIDを束ねる
- のべ7000万
- セキュリティ面もケア
- gooとかは対応してるよ
- NTT IDでログインってボタンで画面遷移
- 束ね画面で束ねる
- インターフェイス仕様書(tech.html)
- ロゴもいっぱいあるよ
- RP Discoveryをできるようにしてね
- RP毎にOpenIDの出しわけしてるからrealm変えないでね
今後
- 対応サイト増やす
- NTTグループサービス連携
- 属性
- 決済連携
- エンドユーザ増やす
- 携帯対応
楽天事例
Smart.fm
OAuth
- レゾナントの方
- SocialWeb Japan
- Google API Expert
- マッシュアップ
- はやってたよね
- 認証を要するマッシュアップ
- ベーシック認証だとセキュリティリスクあるよ
- UNIQLO LUCKEY LINE
- Twitpic
- 認証とドメインが違う
- 間のサービスに渡すことがなく、サーバーにいける
- 安全にマッシュアップできる
- クライアントにクレデンシャルを渡す必要がない
- 連携してるクライアントを把握してるからサーバ側で停止できる
- OAuthの危険
- 認可の意味を把握せず利用される危険
- 認可を行うことで、Twitterフォロアー全員にスパム
- 署名が取れると安全だとみなされて認識される
OAuth Proxy, Open Social
OAuth Consumer Requset
- ユーザ抜きで
xAuth
Auth Next
- authentication,ax,page,outh hybrid
- Artifact Binding
- 携帯電話サポート
- セキュリティ強化
- 実装が容易
- OP RPステートレス化
- OAuth2.0
- rapかな