Korean Identity Management(KIM)

title; mixiのOpenIDを使えるようにしてみた
link; http://brass.to/blog/mixi_openi.html


일본의 최대 SNS인 Mixi, OpenID 전격 지원 과 관련하여 일본 블로거들이 많은 글을 올리고 있네요. 그중 하나 기술적인 언급을 한 포스트를 번역기로 돌려봤습니다.

서둘러 서비스에 집어넣어 보았다. 단지 인증에 사용하는 것만으로 My Mixi 인증이라든지 커뮤니티 인증이라든지 특별한 기능은 사용하지 않은데.

* 로그인 - 아웃도어 용품 가격 비교

사양을 봐도 알지만 Claimed Identifier에 유저 ID가 포함되어 있으므로 RP측에 누가 등록했는지 알 수 있게 되어 있다. 같은 2.0 대응에서도 Claimed Identifier로는 파악할 수 없는 Yahoo!와는 다르다.

가이드라인을 보는데 기본적으로 mixi의 서비스와 관련되어 사용했으면 좋겠다고 하는 것 같아서 이것은 이것대로 좋겠지.
OP측의 방침 나름에 따른다는 식으로. 단지 한가지 궁금한 점은 최종 사용자가 앨리어스(alias)를 설정하면 Claimed Identifier가 바뀌어 버리는 점. 이것 아웃 아닌가?좋은 것인지.
Claimed Identifier가 바뀌어 버리면 RP측으로부터 그것을 알 방법이 없기 때문에 다른 유저로 취급할 수 밖에 없다, 라고 생각하지만 무엇인가 방법이 있을까. OP-Local Identifier에 숫자의 ID가 들어 오고 있는지 생각해 조사해 보았지만 그것도 없는 것 같았고.

덧붙여서 앨리어스(alias)도 1회 설정하면 두 번 다시 바꿀 수 없게는 되고 있는 것 같지만, 한 번인 만큼 해라 앨리어스(alias) 설정전과 설정 다음에 바뀌어 버릴 가능성이 있다. 앨리어스(alias) 있어도 상관 없지만 최초로 OpenID 사용할 때에 고정시켜서는 안된다.

뭐 유저측에서 보고 앨리어스(alias) 설정하는 것도 잘 모른다고 설정하는 사람은 드물다고 생각하는데.프리미엄 유저만의 옵션이고. 그렇지만 일단 앨리어스(alias)를 설정해 버렸다한들 더이상 숫자 ID의 Claimed Identifier에 되돌릴 수 없을 것 같기 때문에, OpenID 사용하는 사람이 많아지면 포스팅한대로 무슨 문제가 일어날 것 같은 생각도 든다.

하나는 이해되는군요. 'My Mixy Authentication'에서 B를 'A의 친구'로 인증받으면, RP 입장에서는 A,B의 관계를 별도로 유지할 필요가 없습니다. 그냥 RP는 'A의 친구'라는 assertion만 받으면 누구든지 인증해 주면 됩니다. A,B 관계는 IDP, 즉 Mixi가 유지하면 되는거죠. 어떻게 보면 openid의 delegate 기능을 재미있게 활용한 것이죠.

이 블로거가 제기한 것처럼 claimed identifier, alias 가 바뀌면 'A의 친구'는 맞는데 B`라는 사용자를 RP가 어떻게 구분할 수 있을지가 의문이네요.