Антипаттерн входа по OpenID » комментарииhttps://softwaremaniacs.org/blog/2009/02/15/openid-login-antipattern/2011-05-22T12:36:23.209354-07:00Иван Сагалаев о программировании и веб-разработкеhttp://softwaremaniacs.org/media/sm_org/style/photo.jpglazybadger.mp на "Антипаттерн входа по OpenID"
2011-05-22T12:36:23.209354-07:00lazybadger.mphttps://softwaremaniacs.org/blog/2009/02/15/openid-login-antipattern/#comment-84832На всех сайтах, которые принимают вход по OpenID, у пользователя есть локальный аккаунт. Может быть все таки, а не есть
<blockquote>
<p>На всех сайтах, которые принимают вход по OpenID, у пользователя есть локальный аккаунт.</p>
</blockquote>
<p><strong>Может быть</strong> все таки, а не <em>есть</em>Ivan Sagalaev на "Антипаттерн входа по OpenID"
2011-05-19T12:31:09.494062-07:00Ivan Sagalaevhttps://softwaremaniacs.org/blog/2009/02/15/openid-login-antipattern/#comment-84535Что касаемо новых сайтов, могу лишь сказать, что когда пользователь зарегистрирован локально, над ним куда проще производить операции OpenID не заменяет локальную регистрацию. На всех сайтах, которые принимают вход по OpenID, у пользователя есть локальный аккаунт.
<blockquote>
<p>Что касаемо новых сайтов, могу лишь сказать, что когда пользователь зарегистрирован локально, над ним куда проще производить операции</p>
</blockquote>
<p>OpenID не заменяет локальную регистрацию. На всех сайтах, которые принимают вход по OpenID, у пользователя есть локальный аккаунт.Antony на "Антипаттерн входа по OpenID"
2011-05-19T03:39:50.161802-07:00Antonyhttps://softwaremaniacs.org/blog/2009/02/15/openid-login-antipattern/#comment-84461Ну, идея OpenID не нова, например, на многих сайтах от ucoz можно встретить общий для всех ucoz сайтов вход, если вы хоть раз были зарегистрированы. Нужно лишь ввести е-мейл, на котором висит 1ый (и он может быть единственным) аккаунт ucoz и пароль от аккаунта. Но по сравнению с OpenID есть...
<p>Ну, идея OpenID не нова, например, на многих сайтах от ucoz можно встретить общий для всех ucoz сайтов вход, если вы хоть раз были зарегистрированы. Нужно лишь ввести е-мейл, на котором висит 1ый (и он может быть единственным) аккаунт ucoz и пароль от аккаунта. Но по сравнению с OpenID есть неудобство в том, что видимый логин будет везде один и тот же, а некоторые сайты имеют некоторые требования на этот счет, и нельзя никак под них подстроится.</p>
<p>С другой стороны, OpenID оставляет место для фишинга. Когда в всплывающем окне в очередной раз просят зайти на фейсбук, чтобы добавить комменатарий, приходится сначала производить вход на заглавной странице фейсбука, а потом только добавлять комментарий. Ибо кто знает, что еще прикручено во всплывающей форме, особенно если строка адреса и состояния спрятаны.</p>
<p>И, наконец, социальные закладки и регистрации, наподобие уже указанного фейсбука, мейлру и вконтакте, обеспечивают более половины потребностей. Не будь их - какая-нибудь комплексная система входа могла бы уже занять свое место под солнцем.</p>
<p>Что касаемо новых сайтов, могу лишь сказать, что когда пользователь зарегистрирован локально, над ним куда проще производить операции - менять логин или отображющиеся имя, можно сбросить пароль (если пользователь его забыл и умудрился также забыть почту), можно перенести в "черный" список, забанить по IP, и так далее. Записи, сделанные локальным пользователем, поддаются постредактированию со стороны администрации ресурса всегда, а вот сделанные под социальными закладками - уже нет, комплексными система входа - частично.myx на "Антипаттерн входа по OpenID"
2011-01-03T14:31:10.790519-08:00myxhttps://softwaremaniacs.org/blog/2009/02/15/openid-login-antipattern/#comment-68104Спасибо за статью, она меня вдохновила на реализацию "неявного" входа по OpenID у себя на Друпал-сайте. Только я сделал не выпадающий список, а кнопочки, которые либо сразу делают редирект на провайдера (для провайдеров OpenID 2.0), либо просят ввести недостающие данные. Изначально задумывалось несколько по-другому (http://myx.ostankin.net/openid-new-approach), но, по-моему, получилось даже лучше...
<p>Спасибо за статью, она меня вдохновила на реализацию "неявного" входа по OpenID у себя на Друпал-сайте. Только я сделал не выпадающий список, а кнопочки, которые либо сразу делают редирект на провайдера (для провайдеров OpenID 2.0), либо просят ввести недостающие данные.</p>
<p>Изначально задумывалось несколько по-другому (<a href="http://myx.ostankin.net/openid-new-approach">http://myx.ostankin.net/openid-new-approach</a>), но, по-моему, получилось даже лучше :)http://weaft.com/ на "Антипаттерн входа по OpenID"
2010-12-05T20:54:38.881684-08:00http://weaft.com/https://softwaremaniacs.org/blog/2009/02/15/openid-login-antipattern/#comment-64371При небольшом количестве опций входа, может лучше список с радиобутонами использовать, чем выпадающий список.
<p>При небольшом количестве опций входа, может лучше список с радиобутонами использовать, чем выпадающий список.asamakin@yandex.ru на "Антипаттерн входа по OpenID"
2010-11-14T02:06:44.878458-08:00asamakin@yandex.ruhttps://softwaremaniacs.org/blog/2009/02/15/openid-login-antipattern/#comment-61389Интересно, кто-нибудь догадается сделать авторизацию OpenID ВСТРОЕННОЙ В БРАУЗЕР! На хрена ее на каждом сайте тыкать... зашел и болтается она как Яндекс.Бар..
<p>Интересно, кто-нибудь догадается сделать авторизацию OpenID ВСТРОЕННОЙ В БРАУЗЕР! На хрена ее на каждом сайте тыкать... зашел и болтается она как Яндекс.Бар..http://www.citydzen.com/author/andrey/ на "Антипаттерн входа по OpenID"
2010-08-20T02:38:08.024394-07:00http://www.citydzen.com/author/andrey/https://softwaremaniacs.org/blog/2009/02/15/openid-login-antipattern/#comment-51611Имхо слово OpenID Отпугивает людей. Вот если бы в блоге быол написано: авторизация с ЖЖ аккаунтом - было бы лучше. хотя сути дела это не меняет.
<p>Имхо слово OpenID Отпугивает людей. Вот если бы в блоге быол написано: авторизация с ЖЖ аккаунтом - было бы лучше. хотя сути дела это не меняет.Ivan Sagalaev на "Антипаттерн входа по OpenID"
2010-03-15T23:58:10.959645-07:00Ivan Sagalaevhttps://softwaremaniacs.org/blog/2009/02/15/openid-login-antipattern/#comment-39999а для серьезных проектов уже нужен логин/пароль, т.к. все равно придется вводить дополнительную инофрмацию о себе Вы сильно заблуждаетесь про OpenID в этом месте. http://softwaremaniacs.org/blog/2009/02/23/openid-myths-superstitions/.
<blockquote>
<p>а для серьезных проектов уже нужен логин/пароль, т.к. все равно придется вводить дополнительную инофрмацию о себе</p>
</blockquote>
<p>Вы сильно заблуждаетесь про OpenID в этом месте. <a href="http://softwaremaniacs.org/blog/2009/02/23/openid-myths-superstitions/">http://softwaremaniacs.org/blog/2009/02/23/openid-myths-superstitions/</a>.pablomedok на "Антипаттерн входа по OpenID"
2010-03-15T15:04:47.927747-07:00pablomedokhttps://softwaremaniacs.org/blog/2009/02/15/openid-login-antipattern/#comment-39954Я бы хотел чтобы все блоги, форумы, доски объявлений и сайты развлекательного характера поддерживали OpenID, а для серьезных проектов уже нужен логин/пароль, т.к. все равно придется вводить дополнительную инофрмацию о себе или своей компании, а каждому сайту нужно что-то свое. Я не против регистрироваться на сайтах, но когда бьешься над...
<p>Я бы хотел чтобы все блоги, форумы, доски объявлений и сайты развлекательного характера поддерживали OpenID, а для серьезных проектов уже нужен логин/пароль, т.к. все равно придется вводить дополнительную инофрмацию о себе или своей компании, а каждому сайту нужно что-то свое.</p>
<p>Я не против регистрироваться на сайтах, но когда бьешься над проблемой с компом целый день, а потом находишь в сети чье-то решение, хочется ему сказать "спасибо тебе, добрый человек", но регистрироваться еще на одном долбанном форуме совсем нет желания.lopar.4ever@gmail.com на "Антипаттерн входа по OpenID"
2010-03-09T05:33:39.297056-08:00lopar.4ever@gmail.comhttps://softwaremaniacs.org/blog/2009/02/15/openid-login-antipattern/#comment-39277Черт, товарищ velikodnyv принес реально радостную весть. Я не использовал данную систему лишь потому, что 30% моих пользователей сидели на почте mail.ru и сползать с нее не собирались. Теперь, когда mail.ru стал openid провайдером можно без проблем ввести систему, которую частично описали выше - человек вводит свой почтовый ящик и...
<p>Черт, товарищ <strong>velikodnyv</strong> принес реально радостную весть. Я не использовал данную систему лишь потому, что 30% моих пользователей сидели на почте mail.ru и сползать с нее не собирались.</p>
<p>Теперь, когда mail.ru стал openid провайдером можно без проблем ввести систему, которую частично описали выше - человек вводит свой почтовый ящик и... летит на openid. В случае, если почта не является openid провайдером - на нее высылается пароль. В обоих случаях - пользователь зарегистрирован.</p>
<blockquote>
<p>Пользователь хочет узнать полезность этого сайта для себя и использует email, на который ему обычно валится всякий спам. И если этот сайт будет ему полезен, он введет email, который он использует каждодневно. В случае с OpenID такой расклад не возможен, потому что провайдер требует подтверждение email.</p>
</blockquote>
<p>Специально для таких случаев в одном из проектов была предусмотрена кнопка <em>сохранить данные в системе</em>. Если она не нажата, то данные пользователя удаляются через сутки, нажата - вуаля, зарегистрирован.vankovalenko на "Антипаттерн входа по OpenID"
2010-03-03T01:23:48.675167-08:00vankovalenkohttps://softwaremaniacs.org/blog/2009/02/15/openid-login-antipattern/#comment-38562Добавлю смуты - по мне - никаких логинов и паролей не должно быть на сайте в любом случае. Даже если у пользователя нет openid/email. Все те смеси, которые обсуждаются снова и снова ставят преграды на пути openid - давать возможность вводить логин и пароль, авторизовать по email и прочая. email...
<p>Добавлю смуты - по мне - никаких логинов и паролей не должно быть на сайте в любом случае. Даже если у пользователя нет openid/email. Все те смеси, которые обсуждаются снова и снова ставят преграды на пути openid - давать возможность вводить логин и пароль, авторизовать по email и прочая. email - это тот же самый openid, просто специфичный его вид. Если у пользователя нет openid пусть его заведет. Это абсолютно идентично тому что он будет делать на сайте, только не придется хранить пароли. Отправим его к провайдерам openid - google, rambler, yandex, mail. Пусть они этим занимаются - хранят пароли, заботятся о безопасности. </p>
<p>Конечно, это способ нагнать посещаемость соотв. провайдерам, но это ведь не наша забота - у кого из них больше аудитория. Собственно, теперь кто из них предложит наименее мудренный интерфейс регистрации пользователя и сделает его удобным для сторонних сайтов (т.е. сделает сервис B-D) отгребет себе новых регистраций. </p>
<p>Итого, вкратце:</p>
<ul>
<li>сайт работает только с openid</li>
<li>если у пользователя нет openid - регистрирует его на известном провайдере</li>
<li>провайдеры имеют возможность отгребать себе новых пользователей, если сделают подходящий сервис регистрации </li>
</ul>Евгений на "Антипаттерн входа по OpenID"
2010-03-01T06:57:05.073018-08:00Евгенийhttps://softwaremaniacs.org/blog/2009/02/15/openid-login-antipattern/#comment-38432Кстати, соглашусь с velikodnyv: можно спрашивать email, проверять его яваскриптом, и для пользователей yandex, google, rambler в поле пароля писать "пароль не нужен"
<p>Кстати, соглашусь с velikodnyv: можно спрашивать email, проверять его яваскриптом, и для пользователей yandex, google, rambler в поле пароля писать "пароль не нужен"velikodnyv на "Антипаттерн входа по OpenID"
2010-02-18T12:35:04.407662-08:00velikodnyvhttps://softwaremaniacs.org/blog/2009/02/15/openid-login-antipattern/#comment-37418Можно просто запрашивать у пользователя его емайл, и по нему уже определять провайдера и авторизировать. Если же по емайлу нет openID провайдера, то предлагать стандартную авторизацию через логин/пароль.
<p>Можно просто запрашивать у пользователя его емайл, и по нему уже определять провайдера и авторизировать. Если же по емайлу нет openID провайдера, то предлагать стандартную авторизацию через логин/пароль.velikodnyv на "Антипаттерн входа по OpenID"
2010-02-18T12:03:06.798597-08:00velikodnyvhttps://softwaremaniacs.org/blog/2009/02/15/openid-login-antipattern/#comment-37415Добавляйте http://openid.mail.ru/
<p>Добавляйте
<a href="http://openid.mail.ru/">http://openid.mail.ru/</a>Lynn на "Антипаттерн входа по OpenID"
2010-01-04T05:39:03-08:00Lynnhttps://softwaremaniacs.org/blog/2009/02/15/openid-login-antipattern/#comment-34682По твоим заветам :-) http://myworldmap.ru/
<p>По твоим заветам :-)<br>
<a href="http://myworldmap.ru/">http://myworldmap.ru/</a>spforth на "Антипаттерн входа по OpenID"
2009-04-14T09:47:31-07:00spforthhttps://softwaremaniacs.org/blog/2009/02/15/openid-login-antipattern/#comment-33039Еще раз проверил, все еще не передается. Хорошо, ухожу в почту :)
<p>Еще раз проверил, все еще не передается. Хорошо, ухожу в почту :)spforth на "Антипаттерн входа по OpenID"
2009-04-14T09:44:00-07:00spforthhttps://softwaremaniacs.org/blog/2009/02/15/openid-login-antipattern/#comment-33038Да, я так и сказал, что в моих тестах SRE не передается ни одному из поддерживающих SRE сайтов, не только вашему WordPress. Это я к тому, что WordPress наверное не виноват. Ваши тесты, конечно, не могу оттрассировать. Возможно у вас привилегированный YandexID :) Но вы тут же выше жаловались, что...
<p>Да, я так и сказал, что в моих тестах SRE не передается ни одному из поддерживающих SRE сайтов, не только вашему WordPress. Это я к тому, что WordPress наверное не виноват.</p>
<p>Ваши тесты, конечно, не могу оттрассировать. Возможно у вас привилегированный YandexID :) Но вы тут же выше жаловались, что у WordPress'а баг, и в то же время сейчас говорите, что уже бага нет, что SRE уже работает "(между openid.yandex.ru и комментариями в этом блоге)". Т.е. пришли к тому же - WordPress не виноват? :)Ivan Sagalaev на "Антипаттерн входа по OpenID"
2009-04-13T00:33:17-07:00Ivan Sagalaevhttps://softwaremaniacs.org/blog/2009/02/15/openid-login-antipattern/#comment-33030Эх-х... Похоже, мой намек был слишком прозрачен. Смысл моего ответа сводится к тому, что наблюдая двусторнний процесс с одной стороны, нельзя делать далеко идущие выводы, полагаясь в половине случаев на догадки и собственное мнение о коде другой стороны, который вы не знаете. Ваш анализ, в частности, показывает только то, что...
<p>Эх-х... Похоже, мой намек был слишком прозрачен.</p>
<p>Смысл моего ответа сводится к тому, что наблюдая двусторнний процесс с одной стороны, нельзя делать далеко идущие выводы, полагаясь в половине случаев на догадки и собственное мнение о коде другой стороны, который вы не знаете.</p>
<p>Ваш анализ, в частности, показывает только то, что конкретно в вашем случае SRE не передается. А например, в моем — передается (конкретно между openid.yandex.ru и комментариями в этом блоге). Дальнейшие выяснения, почему это так, и где что чинить, предлагаю перенести <a href=mailto:Maniac@SoftwareManiacs.Org>ко мне в почту</a>. Поскольку я не хочу продолжать этот неэффективный обмен "любезностями" в комментариях к ни в чем не виноватой статье. Как вы сами уже заметили, комментарии и технически для этого не шибко удобны.Andrey Cherezov на "Антипаттерн входа по OpenID"
2009-04-11T15:31:34-07:00Andrey Cherezovhttps://softwaremaniacs.org/blog/2009/02/15/openid-login-antipattern/#comment-33021У меня, вот, так запросто обычно не выходит диагностировать проблемы с интероперабельностью. А у меня работа такая - изучать чужие баги, чтобы у моего софта проблем с интероперабельностью не было. Написал вам развернутый ответ с логами, но, как и ожидалось, он у вас из-за обилия урлов (в логах) посчитался спамом...
<blockquote>
<p>У меня, вот, так запросто обычно не выходит диагностировать проблемы с интероперабельностью.</p>
</blockquote>
<p>А у меня работа такая - изучать чужие баги, чтобы у моего софта проблем с интероперабельностью не было.</p>
<p>Написал вам развернутый ответ с логами, но, как и ожидалось, он у вас из-за обилия урлов (в логах) посчитался спамом и ушел в карантин (я надеюсь, что не просто удалился :). Я не спамер, все ссылки в том посте были на Яндекс и Софтманьяков - могли бы и в белый список такие добавить :).</p>
<p>В общем, копию (с wiki-форматированием для вашего сайта) я на всякий случай сохранил здесь<br>
<a href="http://www.eserv.ru/yandex/openid.txt">http://www.eserv.ru/yandex/openid.txt</a>Ivan Sagalaev на "Антипаттерн входа по OpenID"
2009-04-11T01:32:27-07:00Ivan Sagalaevhttps://softwaremaniacs.org/blog/2009/02/15/openid-login-antipattern/#comment-33015Андрей, а не могли бы вы провести свое исследование дальше и рассказать нам, как починить SRE на openid.yandex.ru. У вас, очевидно, это получится лучше, раз вы в трех комментариях подряд настаиваете, что проблема именно в нем. У меня, вот, так запросто обычно не выходит диагностировать проблемы с интероперабельностью. Все приходится...
<p>Андрей, а не могли бы вы провести свое исследование дальше и рассказать нам, как починить SRE на openid.yandex.ru. У вас, очевидно, это получится лучше, раз вы в трех комментариях подряд настаиваете, что проблема именно в нем.</p>
<p>У меня, вот, так запросто обычно не выходит диагностировать проблемы с интероперабельностью. Все приходится как-то письма туда-сюда писать, вопросы задавать. Поэтому я лучше посижу в сторонке и понаблюдаю.