XMPP OpenID и делегация для ленивых

В этой статье речь пойдет о двух сервисах: первый позволяет подтверждать OpenID-авторизацию через бота по протоколу XMPP, а второй облегчает привязку OpenID к собственному домену.

Итак, первый сервис — myid.asemantics.com, гейтвей, связывающий OpenID и Jabber. Это не первый сервис подобного рода, но учитывая, что тот первый расположен где-то на Занзибаре, использование этого мне кажется более правильным :-) Пользоваться просто. Если при авторизации где-либо вы введете OpenID вида myid.asemantics.com/your@jabber.com, то к вам постучится бот, скажет название этого сайта и спросит, хотите ли вы авторизоваться. Ответив «ok», вы подтвердите авторизацию. Если бот не стучится или авторизации не происходит, значит у GTalk снова какие-то проблемы с обработкой подписки, и в этом случае может помочь «регистрация» — просто введите свой JID на вышеупомянутом сайте, и процесс запроса авторизации будет запущен принудительно (хотя в моем случае всё сработало без танцев с бубном).

Итак, у нас есть OpenID с подтверждением через джаббер. Но наверняка все согласятся, что выглядит он не лучшим образом и запоминается далеко не сразу. Для того, чтобы избежать подобных ситуаций, в стандарте OpenID предусмотрен механизм делигирования, когда указанный OpenID и подтверджающий его сервер — это совсем разные вещи. То есть, если у вас есть некая HTML-страница, то прописав в заголовке два тега, вы сообщите тем самым проверяющей стороне, что, дескать, OpenID у меня такой, но провайдер не здесь, а во-о-н там:-)

<link rel="openid.server" href="http://myprovider.com/openid/server" />
<link rel="openid.delegate" href="http://user.anotherserver.com/" />

Подробнее можно почитать тут wiki2008.openid.net, а теперь представим ситуацию, что у вас нет такой странички. Да-да, домен есть, а странички нет. Такое тоже иногда бывает :-) Ну или всё есть, но по какой-то причине выяснять адрес OpenID-провайдера и что-то кодить не хочется. Предположим, что вы пьяны в стельку :-D Так вот, в этом случае на помощь приходит другой сервис: www.own-id.com. Он делает как раз то, что написано выше: выясняет адрес OpenID-провайдера и генерирует страничку с нужными тегами. Для того, чтобы он заработал, вам нужно в DNS, управляющем вашим доменом, прописать CNAME-запись, указывающую на www.own-id.com, а после обновления зайти по этому адресу, и вписать свой OpenID.

Оставя в стороне рассуждения на тему прописывания CNAME-записей в состоянии «пьян встельку», скажу лишь, что, таки-да, можно придумать себе ситуацию, когда это может понадобиться, лично я сделал именно так (поскольку хостинга у меня нет, а блог с blogspot.com привязан к домену точно так же через CNAME) и теперь могу авторизоваться на сайтах, поддерживающих OpenID, отправляя подтверждение через Jabber.

В заключении пара слов о самом факте необходимости связывания OpenID и XMPP. На самом деле, конечно, явных преимуществ у этого способа нет (если вы не Jabber-агитатор, и сама аббревиатура XMPP вызывает у вас чувство глубокого удовлетворения :-) Плюсов немного: это чуть быстрее, потребляет чуть меньше трафика, а кроме того, более секьюрно в ситуациях, когда компьютер чужой, а джаббер есть в мобилке. Минусы тоже есть: нельзя «запомнить» авторизацию для какого-либо сайта (писать «ok» нужно каждый раз), а если кто-то захочет вас поанноить — он может начать авторизоваться где-то под вашим логином, при этом запросы будут приходить вам.