Personally, selama ini aku juga nggak terlalu jelas implementasinya seperti apa, cuma tau kalau OpenID itu bertujuan supaya kita tidak perlu menghapalkan banyak username dan password untuk setiap account yang kita punya.
Karena penasaran, akhirnya coba googling lagi kemarin, openid for dummies dan nemu url ini http://www.webmonkey.com/tutorial/OpenID_for_Dummies. Dari url tadi, banyak link2 ke tempat lain yang ternyata lebih menjelaskan, salah satunya adalah gambar di bawah ini yang kudapat dari http://framework.zend.com/manual/en/zend.openid.html
Dari diagram di atas keliatan kalau pada saat user melakukan authentikasi ke suatu website dengan menggunakan openid, si webserver akan men-cek ke openid provider, jika ada respon, maka si webserver tadi akan mengirimkan instruksi redirect ke browser si pengguna ke arah website si openid auth provider supaya si user melakukan auth di sana dan si webserver yang pertama kali diakses si user tadi cukup menerima hasil auth dan identitas si user dari si openID provider. Selanjutanya, gambar di atas sudah bercerita dengan sendirinya.
Sisi lainnya adalah, dengan openid ini berarti ada 3 pihak, pihak pertama adalah si user, pihak kedua adalah webserver yang diakses si user dan butuh mem-verify id si user, kadang2 disebut juga sebagai openid client, dan pihak ketiga adalah openID provider. Setiap orang bisa menjadi OpenID client maupun sebagai OpenID provider, selanjutnya tinggal masalah siapa percaya terhadap siapa.
Kepercayaan/Trust adalah masalah yang cukup penting di sini karena di openID system tidak ada satu badan khusus yang memverify para openID provider seperti Verisign untuk SSL misalnya. Kalau semua orang bisa menjadi openID provider, apa gunanya di auth lagi? contoh gampangnya, spammer dengan mudah bikin openID provider sendiri dan dia bisa dengan mudah masuk ke semua blog, bikin comment2 ga jelas di sana. Karena itu realitynya nanti, menurutku semua openID client tidak akan dengan mudah percaya terhadap semua openID provider yang ada, ujung-ujungnya akan kembali ke openID provider yang sudah punya user based yang banyak dan bisa dipercaya misalnya Google dan Yahoo.
Buat yang tertarik mencoba bikin openID provider sendiri, http://siege.org/projects/phpMyID/ menyediakan fungsi PHP nya, tinggal pakai. Aku udah coba dan jalan. Mungkin tidak bisa berharap banyak dari OpenID server yang private sifatnya seperti ini karena pertama ya masalah trust tadi dan kedua site kita harus hidup terus jangan sampai down pada saat kita butuh akses website yang menggunakan openID. Tapi, sangat recommended dicoba, sangat membantu kalau pingin lebih ngerti cara kerja openID.
Btw, kalau anda perhatikan site blog ini (semoga belum kuremove), http://rendo.blogspot.com otomatis ter-ganti jadi http://openid.rendo.info. Ini sebenernya nggak sengaja, hasil coba2 memanfaatkan blogger ID sebagai OpenID tapi instead of pakai domain asilnya blogspot.com, aku coba map ke subdomain ku sendiri.
2 comments:
Makaci atas infonya, sungguh sangat membantu. Mohon d ikunjungi blk jg yaw.
oi Do, jadi kalau kita punya domain gag perlu hosting yah, cukup di redirect ke blog gratis :)
Post a Comment