Да, в принципе ты прав. Проблема только в том, что с помощью OpenID Authentification не получится авторизовать сервис: там специально сделано так, чтобы человек был включен в процесс. И кроме того процедура авторизации завязана на взаимодействие «человек - браузер - вебприложение - вебсервер провайдера OpenID».
Чтобы было понятно, о чем я, кратко обрисую, как работает OpenID-аутентификация: 1. Человек, желающий выполнить некое действие в Вебприложении с привилегиями обладателя OpenID, указывает свой Внешний OpenID в виде URL 2. Вебприложение читает по указанному адресу имя Вебсервера провайдера OpenID и Внутренний OpenID человека 3. Вебприложение перенаправляет браузер на Сервер провайдера, передавая в качестве параметров Внутренний OpenID и URL возврата в Вебприложение 4. Сервер провайдера каким-либо образом проверяет соответствие Человека Внутреннему OpenID (логин-пароль, секретный вопрос, генератор последовательности, чип-карточка, отпечаток пальца, ... - как хочет!) 5. Сервер провайдера перенаправляет браузер на указанный на третьем этапе URL возврата Вебприложения, добавляя параметр с результатом аутентификации: прошел или нет 6. Вебприложение выполняет запрошенное действие или отказывает в обслуживании в зависимости от вызванного URL возврата
И вот этот механизм перенаправления, который решает проблему независимости Вебприложения от используемого Повайдером метода аутентификации, не позволяет использовать OpenID Auth в сервисах. В этом случае невозможно (в случае необходимости) включить человека между двумя разговаривающими серверами.
То есть ты сможешь смотреть подзамки в каждом из блогов твоих друзей (Вебприложения), обратившись на каждый из них по отдельности, авторизировавшись на каждом из них по очереди с помощью одного и того же OpenID. Но у тебя не получится включить их секретные посты в свою ленту на LJ.
![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
no subject
Date: 2007-12-11 01:48 pm (UTC)Чтобы было понятно, о чем я, кратко обрисую, как работает OpenID-аутентификация:
1. Человек, желающий выполнить некое действие в Вебприложении с привилегиями обладателя OpenID, указывает свой Внешний OpenID в виде URL
2. Вебприложение читает по указанному адресу имя Вебсервера провайдера OpenID и Внутренний OpenID человека
3. Вебприложение перенаправляет браузер на Сервер провайдера, передавая в качестве параметров Внутренний OpenID и URL возврата в Вебприложение
4. Сервер провайдера каким-либо образом проверяет соответствие Человека Внутреннему OpenID (логин-пароль, секретный вопрос, генератор последовательности, чип-карточка, отпечаток пальца, ... - как хочет!)
5. Сервер провайдера перенаправляет браузер на указанный на третьем этапе URL возврата Вебприложения, добавляя параметр с результатом аутентификации: прошел или нет
6. Вебприложение выполняет запрошенное действие или отказывает в обслуживании в зависимости от вызванного URL возврата
И вот этот механизм перенаправления, который решает проблему независимости Вебприложения от используемого Повайдером метода аутентификации, не позволяет использовать OpenID Auth в сервисах. В этом случае невозможно (в случае необходимости) включить человека между двумя разговаривающими серверами.
То есть ты сможешь смотреть подзамки в каждом из блогов твоих друзей (Вебприложения), обратившись на каждый из них по отдельности, авторизировавшись на каждом из них по очереди с помощью одного и того же OpenID. Но у тебя не получится включить их секретные посты в свою ленту на LJ.