Hatena::ブログ(Diary)

Yet Another Hackadelic

2009-05-12

OpenID Mobile Profile (仮) と PAPE に関する妄想メモ

物凄い久しぶりに OpenID ネタ。

PAPE と認証ポリシー

PAPE (Provider Authentication Policy Extension) の認証ポリシーに関してなんですけど、Multi-Factor Authentication と言う複数の認証方式を組み合わせた認証ポリシーを OpenID Provider に対して要求する事が出来ます。たとえばパスワードとさらにハードウェア認証の両方を組み合わせてとかなど。

モバイルサイトへの応用

具体的なその認証手段を要求出来ないので、この場合は別途そういう auth_level を規定しなきゃいけないし、そもそも PAPE ってのは「こうして欲しい」「こうしましたよ」と言うやり取りだけで、確実に認証ポリシー通りに実施されたかを保証するような枠組みでは無い物の、信頼された OP であるならば、認証ポリシーを要求出来るってのはちょっとした事に使えるんじゃないかなーと。

例えば特にモバイルの場合に有効そうなのは、そのメールアドレス宛にメールが届くかどうかだったりする。パスワードなりサブスクライバIDなりで認証した後に、加えて会員登録に良くあるメールアドレス宛にトークン付の URL を載せて、それをクリックしたら〜ってのを加えて見ても面白いとか思った。

ソーシャルプラットフォーム

これまでずっとなるべく言わないようにしていたのだが、もう平たく/明快に言うことにしました。
1)自前でソーシャルサイトを立ち上げるのはもうありえないと思う。
だから、
2)OpenSocialを勉強して既存SNS上で動くソーシャル・アプリケーションで成功する道を真剣に考えてみて欲しい。 OpenSocialを勉強してソーシャル・アプリケーションを作ろう

この辺り何となく概ね同意。その答えが必ずしも OpenSocial かというとどうなるかは分からないけし、ソーシャルアプリを自作ってのがまったくありえないとまでは言わないけど、そういう形に集約していく可能性はあるのかなーとか思ったり思わなかったり。

そういえばモバイルサイトの会員登録の度に、ドメイン指定で受信設定とかしたりするんだけど、RP からのメッセージは Portable Contact 経由で…とか、何となく昔から思ってた事が本当に当たり前になったりするのかもしれない。

そういえば OpenSocial v0.9 から Portable Contact が統合されたんですよねー。

2009-01-20

PAPE のメモ

今ちょっとずつ翻訳してます。

仕様

今のところ使えそうな OP

  • myopenid.com
  • sxipper.com
  • pip.verisignlabs.com

但しいずれも Phishing-Resistant Authentication (http://schemas.openid.net/pape/policies/2007/06/phishing-resistant) は基本サポート。pip だけ multi-factor とかサポートしてる模様。

JanRain のサンプル Consumer with PAPE

試してみたけど、どれもレスポンスの openid.pape.preferred_auth_policies が "none" で返って来る。なんでー?

結論

まだ全然分かっていない。今週末に tkudo さんに粘着して勉強する。