Je viens de terminer un plugin OpenID pour Spip, qui permet
d'utiliser un OpenID à la place de son nom d'utilisateur. Ca a l'air
de fonctionner assez bien, j'aimerais trouver des gens pour tester!
L'approche est simple: si un utilisateur (déjà enregistré) souhaite
utiliser son OpenID pour s'authentifier, il suffit qu'il mette à jour
son profil pour indiquer son OpenID comme URL de son site web. C'est
assez élégant étant donné que la 'best practice' est effectivement
d'utiliser l'url de son propre site/domaine comme OpenID.
J'ai simplement surchargé la balise LOGIN_PUBLIC, et il manque
encore un traitement des messages d'erreur correct, mais dans les
grandes lignes, ça y est.
Je viens de terminer un plugin OpenID pour Spip, qui permet
d'utiliser un OpenID à la place de son nom d'utilisateur.
Arglh ! j'ai été pris de vitesse
L'approche est simple: si un utilisateur (déjà enregistré) souhaite
utiliser son OpenID pour s'authentifier, il suffit qu'il mette à jour
son profil pour indiquer son OpenID comme URL de son site web.
J'était plutot parti sur une solution identique à celle du ldap : on
s'identifie openId et ça génère un comtpe spip avec les droits par
défaut.
C'est
assez élégant étant donné que la 'best practice' est effectivement
d'utiliser l'url de son propre site/domaine comme OpenID.
Ha bon ? ça veut dire qu'il faut que le domaine en question soit
serveur openid ?
> Bonjour à la liste,
>
> Je viens de terminer un plugin OpenID pour Spip, qui permet
> d'utiliser un OpenID à la place de son nom d'utilisateur.
Arglh ! j'ai été pris de vitesse
> L'approche est simple: si un utilisateur (déjà enregistré) souhaite
> utiliser son OpenID pour s'authentifier, il suffit qu'il mette à jour
> son profil pour indiquer son OpenID comme URL de son site web.
J'était plutot parti sur une solution identique à celle du ldap : on
s'identifie openId et ça génère un comtpe spip avec les droits par
défaut.
J'aurais voulu faire ça, mais à ce que j'ai pu voir, c'est quasi
impossible d'ajouter des méthodes d'authentification sans toucher au
coeur de Spip ou bien recopier des pans entiers en surchargeant le
code... Mais peut-être que nos solutions sont complémentaires?
> C'est
> assez élégant étant donné que la 'best practice' est effectivement
> d'utiliser l'url de son propre site/domaine comme OpenID.
Ha bon ? ça veut dire qu'il faut que le domaine en question soit
serveur openid ?
Salut j’ai des besoins d’authentification externe diverses aussi (certificats, webservices …) , je veux bien participer à une recherche d’évolution du core pour avoir une api suffisamment souple sur ce point
OpenID: une des normes les plus populaires de systèmes
d'authentification fédérés sur le web. Voir openid.net. C'est qque
chose qui est en train de prendre pas mal d'importance dans le monde
du web et de l'internet.
Pour faire simple, un moyen très efficace pour les utilisateurs de
choisir quelle est l'entité qui fait la validation de leur identité,
et surtout qui leur permet d'utiliser la même identité pour plusieurs
sites. Voir les multiples ressources sur OpenID existant sur
Google/Wikipedia, etc. A mon sens, c'est une évolution vraiment
importante de la gestion de l'identité en ligne, qui remet
l'utilisateur au centre de la transaction.
En pratique, on n'utilise plus de nom d'utilisateur / mot de
passe, on indique son OpenID (une URL) qui permet au site de rediriger
l'utilisateur vers l'IDP (Identity Provider) choisi pour faire
l'authentification sur cet IDP avant de repasser la main vers le site
(aussi appelé RP ou Relying Party). C'est tout bête mais super
puissant et pas forcément 100% intuitif au niveau développeur, quoique
très agréable à utiliser.
Merci beaucoup pour ces explications, et celles que j'ai eues sur le lien fourni par RealET ...
Effectivement, cela a l'air assez complexe, et je me demande s'il ne faut pas le réserver à des sites qui sont vraiment "sensibles", ce qui n'est pas forcément le cas de spip ...
Ne risque-t-on pas de quelque peu compliquer les choses ?? C'est une simple question, et non une critique ... Mais, après avoir lu les quelques lignes sur le sujet sur Wikipedia, cela m'a effectivement semblé bien peu intuitif ... Et, à propos ... c'est gratuit ou payant d'obtenir un OpenID ?
Au contraire, OpenID a été lancé avec pour but de simplifier la vie
des utilisateurs: on choisit son IDP (fournisseur d'identité), soit
gratuit (voir www.sxipper.com, openid.net, etc..) soit payant style
Verisign - on peut être soi-même son propre provider si on a son
serveur. Ensuite, pour tous les sites compatibles, au lieu de se créer
un username/password distinct, on indique simplement son openID et (si
nécessaire) l'IDP demande l'authentification: si effectivement c'est
compliqué sous le capot, pour l'utilisateur final ça simplifie
sacrément la vie, plus d'un seul OpenID à retenir, et pas besoin de
confier de mots de passe à des sites dans lesquels on n'a pas
forcément 100% confiance, puisque seul l'IDP le connait. Les OpenID
sont super populaires sur les blogs, par exemple.
Bon, j'arrête là, je peux continuer longtemps sur le sujet
L'intérêt d'un plugin OpenID est que si on veut la compatibilité, on
peut l'avoir, mais cela reste 100% optionnel: de quoi satisfaire
chacun!
Dès que j'ai un moment, je finalise le plugin (doc,
multilinguisme), et je fais un article sur spip-contrib pour
documenter tout cela sérieusement.
