OpenID – So funktioniert’s
In einem vorhergehenden Blog-Beitrag ist bereits der Ablauf für den Endbenutzer bei einem OpenID-Login kurz angeschnitten worden. Um aber das Konzept hinter OpenID ganzheitlich zu begreifen, ist es wichtig, die einzelnen Schritte technisch nachzuvollziehen. Deshalb möchte ich anhand der nachstehenden Grafik diese detailierter erläutern.
- Der Benutzer gibt in dem Formular in seinem Webbrowser seine OpenID-Identität ein. Im konkreten Fall verwenden wir wieder http://doubleslash.myopenid.com. Danach schickt er das Formular über den Submit-Button an den Webserver ab.
- Der Webserver seinerseits verarbeitet den Formularrequest und parst den HTML-Inhalt. Dabei sucht er nach folgendem Tag:
<link rel="openid.server" href="$OPEN_ID_SERVER">
An der Stelle ist natürlich anzumerken, dass der Wert für das Attribut „href“ die jeweilige URL des OpenID-Servers beinhaltet.
- Aus den erhaltenen Informationen des Parse-Vorganges wird eine Query erstellt. Diese Query wird an den URL des Servers gerichtet. Dies erfolgt indem der Browser des Benutzers entsprechend umgeleitet wird.
- Der OpenID-Server vollzieht nun die Authentifizierung der angegebenen Identität – also http://doubleslash.myopenid.com. Sofern noch kein gültiger Sitzungs-Cookie vorliegt, wird dem Benutzer in seinem Browser ein Formular angezeigt. In diesem muss das Passwort des OpenID-Accounts angegeben werden. Ist bereits ein solcher Cookie vorhanden, so entfällt dieser Schritt natürlich.
Nach der Authentifizierung muss der Benutzer nun entscheiden, ob er der Anwendung Zugriff auf seinen OpenID-Account geben möchte oder nicht. Hierzu hat er drei Optionen zur Auswahl: Für immer freischalten, einmalig freischalten oder aber ablehnen. - Hat sich der Benutzer für die erste oder zweite Option entschieden, so wird vom OpenID-Server ein erneuter Redirect initiiert. Und zwar gelangt der Benutzer nun wieder auf die zuvor gewählte Seite zurück. Diesesmal trägt er aber den Status „angemeldet“.
Derzeit befindet sich OpenID in der Version 1.1. Die Spezifikation dieser Version enthält noch mehr Details. So beispielsweise etwa zum konkreten Aussehen der Query zur Authentifizierung. Insgesamt handelt es sich aber um einen leichtgewichtigen und minimal komplexen Ansatz für Web Single Sign-On.
So, und jetzt sogar mit richtigem Namen..
Ich teste mal das OpenId bei den Kommentaren hier… Tolle Sache eigentlich, aber schwer, eine Testseite zu finden.
Eine schöne Präsentation haben die Jungs des Webtuesday aus Zürich erstellt:
http://www.keepthebyte.ch/2007/01/openid-speech-at-webtuesday-zurich.html
Erreichbar ist die Präsentation als .pdf unter:
http://keepthebyte.ch/openid/openid-authentication-webtuesday01-2007.pdf
OpenID wird demnächst auch mit CardSpace von Microsoft zusammenarbeiten. Mozilla hat angekündigt im allseits beliebten Browser Firefox in der Version 3.0 auch OpenID und CardSpace zu unterstützen. Bisher ist dies nur durch ein zusätzliches Plugin möglich.
Ich bin davon überzeugt, dass OpenID mit CardSpace zusammen über kurz oder lang das Problem des ständigen authentifizierens für einfache Webdienste lösen wird.