淺談 OpenID

OpenID 的設計裡，一個 ID (identiier) 就是一個 URL。真是奇怪，不過 習慣之後也還好。

Flickr 跟 Google 提供的 OpenID URL 都是利用現有的 URL，相當方便。 Yahoo 的 OpenID URL 則是需要去啟用一下。而 且他們不建議直接把yahoo username 放在 OpenID URL 中，username 見光 之後就會出現 SPAM 等問題。

Google 的話，則是 Blog URL，由於跟 google username 原本就沒有一對 一的對應關係，所以不會衍生出 SPAM 問題。

• Flickr: http://flickr.com/photos/
• Google: blog website URL.
• Yahoo: http://me.yahoo.com/a/

這也讓我不斷的思考：倒底 OpenID 這個 URL 應不應該是個公開的資訊？ Yahoo 的做法相當的正確，因為 yahoo username 直接會對應到 Email，造 成有心人士可能藉由 OpenID URL 取得 Email 名單。雖然 SPAM 問題早已 成災，但若因此視而不見，也只是在製造出更多可能的問題。

而 Flickr 會不會有這個問題？其實也有，Flickr 上的 comment spam 已 經不少。但比較幸運的是，Flickr 的訊息傳送是自家的，比起 Email 來說， 較容易在server 端加上防 SPAM 的機制。如果是照片的存取控制的話，就 算引來許多有心人士將你加入好友列表，只要你不將他們也加入好友列表， 你的私有照片就不會曝光，因此，也不會有太大影響。另外一個觀點嘛，反 正放在 Flickr 上的相片本質上就是拿來共享的，因此，拿 OpenID URL 當 做一個廣告手段也沒什麼不好。換句話說，這種 OpenID URL 就算是公開了， 也沒什麼不妥的。

Cilckpass 則提供了十分有意思的做法。這家 OpenID 提供商所提供的 OpenID URL 完全是亂數產生的。註冊成為會員之 後，它會引導你進入其他可以使用 OpenID 的網站，但是，他提供給每個網 站的OpenID URL 都不一樣。雖然對應到 Clickpass 上都是同一位會員，但 這樣的資訊只存於 clickpass 網站上。整體來說， clickpass 的會員跟本 不需要知道自已的 OpenID URL 是什麼，只消點擊 clickpass 站上的各網 站的按鈕，就能直接登入其他站。好處是相當的方便，但反過來說， clickpass 就鉗住通往各網站的大門了，能逛的網站就被 Clickpass 給限 制住了。以這層意思來說，似乎有那麼一點點違反 OpenID 原本設計的原意 了。

最近公司所開發的新 Web 2.0 服務 SudoMake 就鼓勵使用 OpenID。有別於其他能用 OpenID 登入的網站，SudoMake 能讓你使用多重 OpenID 登入。這是個十分 貼心的功能。大家都有 Yahoo 帳號、Google 帳號、Flickr 帳號，因此你 可能有三個能用的 OpenID 了。你可能會忘了你當初在網站甲是用 Google OpenID 登入，還是 Yahoo OpenID 登入、還是其他家的 OpenID。在 SudoMake 上可以登入後一次加好所有的 OpenID，這樣以後就算你忘了也沒 問題，用哪個都行。