Mozilla Persona, dříve BrowserID – další OpenID?

Docela mě zaujala možnost využít Mozilla Persona pro řešení uživatelských účtů, ale pak jsem to zase zavrhl.

V zásadě byla myšlenka dobrá: je nějaká nezávislá ověřovací autorita, já se přihlašuju tam, cílová služba tedy neřeší správu uživatelů. Navíc je systém (údajně) odolný proti sledování pohybu uživatelů. Jako bonus pak přišla myšlenka, že tenhle algoritmus bude zabudovaný přímo v prohlížeči.

Jenže to zatím nějak nedopadlo. Z BrowserID se to přejmenovalo na Persona a když se podíváte na web, tak z toho moc moudří nebudete. Inu, programátoři programátorům, a tak na jednu stránku Co je Persona a jak funguje najdete popis „jak implementovat na svém webu Personu„, k tomu i pár poznámek z implementátorské vyšší dívčí (kam rozhodně nakoukněte, aspoň si uvědomíte, co vás může potkat při implementaci) a více či méně aktuální seznam knihoven pro Personu.

Nepoužiju ji. Připomíná mi jako kombinace nevýhod OpenID s nedostatečnou podporou. Pokud jste šibolet, můžete to zkusit, ale já pravděpodobně půjdu nějakou cestou OAuth či něčeho takového.

Líbil se vám článek? Podpořte autora na Patreonu

1 Comment

Got Something To Say:

Vaše emailová adresa nebude zveřejněna.

Problémem je, že OAuth _není_ autentizační protokol a jeho zneužívání k autentizaci může snadno způsobit (známé) bezpečnostní díry, když si na to člověk nedává pozor. Je škoda, že opravdové autentizační protokoly se kvůli své (domnělé i skutečné) složitosti nahrazují ±záplatami, ale zase je vidět, jak důležité je při návrhu standardů dbát i na snadnost jejich užití…

banner

Copyright © 2017. Powered by WordPress & Romangie Theme.

banner