08/09/16 21:14:53
フィッシングが問題になっているが
次のような仕組みにすることで解決できるかもしれない。
RPは、(RSSのように)ページに定められたマークを記述しておくことで
OpenIDで認証できることをユーザーやブラウザに知らせる。
ユーザーは常にOPの同じページでIDとパスワードとURIを入力する。
URIはRPサイト内のページを指し、ブラウザにログインボタンなどを実装することで
自動的に入力されることが期待される。(実装まではブックマークと手入力)
OPはブラウザにユーザーを特定できるような情報(クッキーなど)を持たせる。
またRPサイトにユーザーを認証したことを報せ、IDと登録日時、特定できる情報を渡す。
IDの一意性はOPサイトで担保できれば良い為、
ユーザーが入力するIDと外部に知らせるIDは異なっていても構わない。(spam対策)
ユーザーは外部に知らせるIDを覚えたり入力しないで済む。
時間軸におけるIDの一意性は、ドメインの所有者が
そのユーザーの認証サービスを開始した日時を記録することで確保できる。
これにより一意性を確保しつつ、限られた資源の再利用が可能となる。