搜尋本站文章

2011年7月31日 星期日

BrowserID 技術:登錄只用 Email 無需用戶名密碼!

Mozilla 最近新建了一套名為 BrowserID 的身份驗證系統,旨在解決基本的身份驗證需求,但是它是否可以成功還取決於應用的狀況。


Mozilla 想要簡化連接站點時的身份驗證過程,它建議只使用 email 地址,而不需要輸入 ID 和密碼。這種新的身份驗證解決方案叫做 BrowserID。郵件地址會在最開始的時候做一次驗證,用戶可以選擇通過 email 提供商或者認證機構的機制來驗證,硬體、生物識別技術、密鑰等,還可以向用戶的收件箱發送郵件,用戶點擊鏈接,然後用戶就可以通過驗證,說明他擁有指定 email 地址。一位用戶可以註冊多個 email 地址。之後,當用戶登錄網站的時候,系統會向其提供已經驗證的郵件地址列表,用戶可以從中選擇一個,然後點擊『登錄』按鈕。此時不需要 ID 和密碼。也不會再彈出 OpenID 提供商的身份驗證對話框。你可以在這裡測試 BrowserID 的登錄過程。

BrowserID 基於一種名為郵件驗證協議(Verified Email Protocol)的新協議。在協議的核心會解析 email 地址的 ID,而不是創建新的用戶身份。用戶可以從他信任的 email 提供商那裡獲得 email 地址,然後,如果提供商支持 BrowserID,那麼瀏覽器就可以創建公-私鑰對。瀏覽器會保留私鑰,並把公鑰發送給提供商。當用戶登錄站點的時候,瀏覽器會向其顯示之前曾經在一家或多家 email 提供商通過驗證的 email 地址,用戶從中選擇一個,瀏覽器就會使用相應的私鑰簽署驗證確認,並把相應的確認信息發送給站點,站點會從 email 提供商那裡獲得公鑰,從而對身份進行驗證。當然,網站需要信任郵件提供商。如果確認信息是有效的,那麼網址就會讓用戶登錄。   

為了防止郵件提供商不想實現這個協議或者它是不可信的,還可以由第三方認證機構來持有公鑰。這個網頁中包含了關於整個身份驗證過程更多的細節,並且還涉及到相關的主題:身份確認和密鑰過期、使用多台設備與同步、匿名地址等等。   

Mozilla 實驗室的 Dan Mills 說,BrowserID 要比其他登錄系統好,因為它不會把用戶訪問了哪個網站的信息發送回任何服務器(甚至不會發送給 BrowserID 服務器)。另外,它可以用於所有流行的瀏覽器,包括移動設備上的瀏覽器。當前對 BrowserID 的實現是使用 HTML 和 JavaScript 完成的,但是 Mozilla『把這個系統設計成為可以無縫整合到將來的瀏覽器中』。想要為站點實現 BrowserID,開發者不需要做什麼,這個項目會通過 email 和第三方認證提供機構掛接到很多站點上。BrowserID 當前還是實驗性的項目,它是否可以成功,取決於網路,特別是大廠商,對 Mozilla 的建議做出什麼樣的響應。BrowserID 可能會成為解決複雜的身份驗證問題的簡單方案,特別是當前 OpenID 看起來有些問題。

===============================================

創用 CC 授權條款
Related Posts Plugin for WordPress, Blogger...

沒有留言:

張貼留言

1、本留言處歡迎多加留言交流,但不歡迎垃圾留言及廣告留言
2、留言時可以使用部份 HTML 標記
3、對於教學文章介紹或軟體使用有問題歡迎提出,若站長沒回應表示不清楚該問題的解決方案
4、留言時請勿留下電子郵件,以免因搜尋引擎爬文而造成您的困擾,且站長不會寄相關郵件給您,僅會在留言區提供解決方案
5.站長保留不當刪除留言的權力,若造成不便尚請見諒