在說明OpenID是什麼之前,應該要先簡單的說明何謂單一登入(Single Sign On,SSO),簡單的說,就是使用者不需要記住每一套應用系統的登入帳號與密碼,只需要一套帳密就可以達成所有應用系統的登入。這樣的技術架構近幾年在企業界已經越來越普遍,對於此概念有興趣的朋友,可以直接參考之前我談SOA的相關文章(http://miin1130.pixnet.net/blog/post/22632723),在這裡就不重覆說了。現在相同的概念也慢慢衍生到網站服務,這樣的非商業化公開技術標準我們稱為OpenID,在下面我會簡單的說明他們與一般企業內部使用的SSO相同之處與些微的差異,希望對各位朋友有幫助。
網站SSO誰幫我認證?
在一般企業應用上,這通常不會是問題,反正資訊單位可能會用AD或資料庫來彙總。但在網站服務上卻會是一個小問題,OpenID是一種公開的技術標準,不論是認證方或是網站使用方,只要遵守公開的標準,理論上就可以互通使用了,但這也代表,在市場上可以有無限多的認證方可以使用。那麼網站怎麼知道該找那一家進行驗證? 原則上,若為開放式的OpenID(有些網站會綁定只有特定的OpenID認證網站他們才准許),使用者需要提供驗證方的網址,再由網站服務向驗證方進行驗證登入,同樣的,OpenID驗證網站,也會要使用者確定,該服務網站的登入請求是被准許的(通常只有第一次才會要求確認,之後就不需要每次確定),這樣才能完成整個登入程序。
認證與授權的不同
在談SSO時,主要都專注在登入這個動作,但在系統設計上,其實會將登入作業細分為認證與授權兩項作業。認證指的是確定使用者是誰,而授權指的是認證之後,決定使用者有什麼樣的權限。在企業界的實作上,認證與授權可以合併處理,也可以分拆作業,甚或可以發展出分層授權作業。但在OpenID上,則很明顯只有分拆一種方式來進行,也就是一般使用者透過OpenID登入商業網站,該商業網站經由特定的OpenID認證機構確認使用者身份後,再比對網站內的帳號權限,獨立進行授權作業。
加入OpenID有什麼好處
OpenID主要的目地在於達成,使用者只要使用一組帳密就可以暢遊多個網站的理想,但就從我個人觀察來看,OpenID的推動已經很多年了,但成果一直不如預期,直到現在由於Google、Yahoo與AOL等大廠表示對此有興趣,另外就是美國政府也似乎有意推動官方的OpenID,才讓OpenID使用重新燃起了新的機會。簡單來說,OpenID如果未來應用很廣泛,那麼就會成為標準應用,每個網站都該支援,但在那之前個人是覺得,只需持續觀察該領域的發展即可,至於是否要當成領導廠商,個人是覺得可以不需要。
留言列表
