/ 最近 .rdf 追記 編集 設定 本棚

log[20110302] 20110223p01の続き



20110302()

最終更: 2011-03-04T22:27+0900

20110223p01の続き

認証結果(GET/POSTータ)の再利用によるなりすましを防ぐために nonceを使うのが一般的でもそうするとコメトのプレビー時にはまだ認証ができないことになる事前に認証してしまったら自分自身がその結果を再利用するかたちになるからtDiaryはアカウトやログインって概念を管理してないから OpenIDによる認証結果をそれらと結びつけて持続させることができない認証とコメトの投稿が同時のぶっつけ本番書き込み前にどういう表示になるのかはやっぱり知りたいよ

Bloggerの解

表示名にはOpenID プロバイダから Google に送信されたあなたの名前が使用されます。表示名がない場合はOpenIDURL から表示名の取得を試みます。

BloggerOpenID を使用してコメトを書き込む - Blogger ヘルプ

こういう割り切りが必要なのかなでも Yahoo!!!なんかは味気ない URLしか返してこないよね(1)mixiしか聞かない表示名が取得できたってのはもちろんmyOpenIDもユーザーフレドリーな名前を返す。ペルソナをかぶることすらできるから選んだOpenID Providerとしての Googleはひと味違って claimed_idrealmごとに固有のものに変化するらしい(2)Webービスからするとーザーをリダイレトしたときと返ってきたときの claimed_idが変わったように見えるOpenIDをいろんなサービスへのログイン手段としてだけみるなら余分な情報を渡さないのはメリ自己紹介として URLを提示したときにはそれと違うものが claimed_idとして Webアプリに渡るのはデメリさてドメインの URLを提示しておいてドメインから Googleへ認証を delegateした場合の claimed_idはどうなる?

1 知らぬ間に AX(Attribute Exchange)に対応してたYahoo! JAPANOpenIDでプロール情報を提供 拡張仕AXUIに対応:CodeZineでもSREGには対応しないってどういうこと? AXの汎用性は却って対応が面倒なんだけどAttribute Exchange のメモ - Yet Another Hackadelic定義済みのシーマがあるらしいがすでに二つもある

2っともそのことを知ったのはこういうタトルの記事OpenIDGoogleからグローバルユニークなユーザー識別子を取得できるかもしれない方法 - r-webliferealm(Webービスドメイン)固有の claimed_id 「グローバルユニークなユーザー識別子

閑話休題nonceをワンタイムでなく時限式にするしかないのだろうタイムアって嫌いなんだけど


 @2011-03-04

OpenID Providerへコメトの全文ごとユーザーをリダイレトするのはまずいかなと思って通常通りコメトを保存した後でリダイレトし正しく認証されて返ってきたときにその印としてコメトに OP名を付与することを考えた問題はその認証がどのコメトに対するものなのかだーザーを送り出すとき「このパラメータと一緒に返ってきてねということはできるが……コメトを他者が推測できない UUIDみたいなものとともに保存しておいてユーザーにそれを運んでもらおう(もちろんどの日の日記に対するコメトなのかを表すパラメータもユーザーに運んでもら)