Kategorier
Blogginlägg

Medlemsregistrering och OpenID

Puh, nu är jag äntligen klar med att göra om hela OpenID implementeringen med medlemsregistrering och inloggning på www.hemochharmoni.se. Nu ska det vara betydligt enklare och framförallt fungera mycket bättre än när vi lanserade betaversionen i slutet av förra veckan.

Såhär har vi kombinerat OpenID med medlemskap på sajten:

  • Ny medlem utan ett OpenID
    1. Registrerar OpenID på vår egen server
      – Samtidigt så automatgodkänner vi vår egen sajt så man slipper ge ”trust” som annars OpenID kräver
      – Profildata godkänns att skickas över till sin egna sajt när det efterfrågas (vi södjer SREG 1.1 för OpenID 2.0)
    2. Användaren loggar in på Hem & Harmoni med sitt OpenID
      – Vårt system kontakar vår OpenID server och validerar kontot
      – All registrerad profildata från OpenID skickas över till inloggaren i bakgrunden
      – En ny medlem skapas i Hem & Harmoni med den inhämtade profilen
  • Ny medlem som redan har ett OpenID (på WordPress, Blogger etc)
    1. Loggar in på Hem & Harmoni direkt
      – Vår klient skickar förfrågan till WordPress, Blogger etc, också samtidigt eventuell profildata
      – Om nödvändigt skickar vår server användaren till WordPress, Blogger etc för att logga in där
      – En ny medlem skapas i Hem & Harmoni med den inhämtade profilen
  • Redan medlem
    1. Loggar in med sitt vanliga OpenID
      – Vår klient kontaktar OpenID servern och hämtar uppdaterad profildata
      – Om nödvändigt skickar vår server användaren till OpenID servern för att logga in där

Sådär ser processen ut ganska enkelt. Vad vi gjort är att när man har ett OpenID hos oss så sker all kommunikation kring inloggningen internt med Ajax i ett iframe fönster. Så att ha ett OpenID på vår sajt gör inloggningen lite enklare och snabbare faktiskt, men det utesluter inte att använda sitt OpenID som man har på något annat ställe.

Mina erfarenheter av OpenID är just nu väldigt kritiska, jag har fått lägga ner 3 veckors normal arbetstid för att få ordning på bara inloggningsbiten och det känns inte rimligt. Anledningen till att det varit så krångligt att få till är att våra sajter använder Web 2.0 i stor utsträckning och just protokollet för OpenID har väldigt lite stöd för det.

Egentligen är det bara ett problem eftersom vi valt att ha både server och klient tjänst, dvs man kan även registrera ett OpenID hos oss och använda Hem & Harmoni’s konto för att logga in på Blogger, Yahoo, WordPress och en massa andra sajter och det som sagt krävde en del av oss.

Eftersom vi kommer lansera flera sajter inom Byggmedia ska jag naturligtvis återanvända denna tekniska implementering, så det kanske lönar sig långsiktigt att vi lagt så mycket resurser på bara den här grejen. Men nu kan jag i princip allt om OpenID i alla fall.

2 svar på ”Medlemsregistrering och OpenID”

Jag är nog lite mer skeptisk till openid, än vad du är.
Tror du inte att det kan avskräcka folk från att bli medlemmar att behöva skapa ett openid? Kan andra se vad ens openid är, och då kanske se vad man skrivit på andra forum?

Jo visst är jag lite överpositiv till OpenID – faktum är att det inte är så känt i folkmun och det skapar skepsis när det handlar om personuppgifter och liknande. Men det är också faktum att OpenID är mycket säkert, och förmodligen betydligt säkrare än vanliga medlemsinloggningen de flesta sajter har. Man skulle kunna ersätta e-legitimationen med OpenID som skulle underlätta en hel del och få fart på begreppet.

Svar på din fråga om OpenID syns – Nej. Det finns inget i protokollet som visar vilket OpenID någon annan har, fast det kan man gissa sig till ganska lätt. Grejen med OpenID är just att man ska ha en enkel ID, man kan enkelt använda sin egen domän, t.ex. så skulle jag kunna ha hogberg.net som min openid överallt. Ingen kommer ändå kunna logga in med mitt OpenID för de känner inte till mina autentiseringsuppgifter (dvs lösenord eller liknande).

Om du som sajtägare kräver högre säkerhet och endast möjlighet att logga in med engångslösen och dosa så går det även bra med OpenID för du som sajtägare kan själv välja vilka ”Providers” som du anser säkra att få logga in på din sajt. Detsamma gäller för användarna, jag föredrar t.ex. att lägga mitt OpenID konto på http://www.myvidoop.com före http://www.myopenid.com för jag tycker de har en säkrare inloggning som inte baseras på lösenord och kan då skydda mina personuppgifter på ett bättre sätt.

Stängt för kommentering.