Korean Identity Management(KIM) : 모바일 환경에서 마이크로블로그를 이용한 오픈아이디 로그인

2008년 01월 21일

모바일 환경에서 마이크로블로그를 이용한 오픈아이디 로그인

title; A simpler mobile OpenID workflow?
link; http://ianloic.com/2008/01/13/a-simpler-mobile-openid-workflow/

모바일 환경에서 인터넷을 사용하려면 많은 어려움을 감수해야 합니다. 우선 URL을 입력하는 문제에서부터, 사이트마다 ID와 패스워드를 입력해야 하죠. 보안을 신경쓴다고 복잡한 패스워드를 설정한 경우라면 모바일에서 입력하기가 더욱 어렵습니다. 한글자판으로 패스워드를 저장해둔 사람이라면 빨리 포기하는게 나은 길입니다.

며칠전 Ma.gnolia 에서 모바일 버전의 서비스를 런칭하였습니다. OpenID를 로그인 방법으로 사용하는데, 모바일에서는 OpenID Provider(OP) 화면이 아래처럼 잡히는 문제가 있군요.

OP가 모바일 환경을 고려하지 않은 탓입니다. 또한 OP에서 OpenID와 패스워드를 입력해야 하는데, 실제로 하지 않더라도 얼마나 번거로운 작업일지 생생하게 느껴집니다.

He was reluctant to do so because, he reasoned, the experience of logging in sucks, not just because of the OpenID round-trip dance, but because most identity providers don’t actually support a mobile-friendly interface
출처: http://factoryjoe.com/blog/2008/01/13/the-openid-mobile-experience/

이 문제를 해결하기 위한 가장 쉬운 방법은 SMS로 일회용암호(OTP)를 전송하는 것입니다. 사용자는 이 암호로 OP에 로그인할 수 있게 됩니다. 또는 콜백 URL 기술을 사용하여 '연결' 버튼만으로 OP에 로그인하는 것입니다. 하지만 이들 방식은 별도의 SMS 비용이 요구됩니다.

My initial approach was to offer an OpenID URL for phone numbers and use an SMS message containing a one-time password to verify that the person attempting to log in had access to that mobile phone
출처: http://ianloic.com/2008/01/13/a-simpler-mobile-openid-workflow/

Ian McKellar 씨는 마이크로블로그인 Twitter를 이용하여 OP에 로그인하는 절차를 선보였습니다.

1. Twitter에 특정 사용자(twauth)를 친구로 추가한다. 이제 twauth.ianloic.com을 OP로 사용할 수 있다.
2. OpenID 컨슈머 사이트에 접근한다.
3. 사용자는 OpenID로 twauth.ianloic.com을 입력한다.
4. 사용자는 OP로 포워딩된다.
5. 사용자는 Twitter에 twauth가 보낸 비밀메시지를 확인한다. 이 메시지가 바로 OTP(One Time Password)가 된다.
6. 사용자는 OP에 암호를 입력한다.
7. 사용자는 OP에 로그인되고, OpenID 컨슈머 사이트에 토큰을 전달한다.
8. OpenID 컨슈머 사이트는 사용자를 인증하고 서비스를 제공한다.

I removed the requirement for registration - it transparently adds accounts as you use it. It doesn’t use password authentication, it sends a Twitter direct message with a one-time token to verify identit
출처: http://ianloic.com/2008/01/13/a-simpler-mobile-openid-workflow/

4번 단계에서 볼 수 있는 화면입니다.