Python-сообщество

Добрый день!

Мучаюсь вопросом. Делаю сервис, где пользователи могут добавлять свои сайты. Подтверждение через meta-тег или файл на сервере. В чем суть - дальше другим пользователя нужна возможность подтвердить аккаунт на этом стороннем сайте и передать мне свой ID и имя пользователя на это сайт. Т.е. у меня будет список подключенных сайтов, свои пользователи и привязки мой пользователь-пользователь на сайте.

От стороннего сайта я жду ID и какое-то человекопонятное имя пользователя.

Вроде бы обычный oAuth, но хотел спросить - может есть что-то попроще. Просто в таком случае каждый сайт, который хочет подключиться к моему сервису должен быть oAuth-провайдером.

Заранее большое спасибо!

Отредактировано ad3w (Янв. 27, 2013 14:43:03)

Есть Loginza.

Lexander
Есть Loginza.

Боюсь вы не читали вопрос или я плохо выразился. Речь идет о том, что пользователь на моем сайте должен подтвердить, что у него есть аккаунт на каком-то стороннем сайте.

Если использовать просто пароли, то это выглядило бы так:

1. Пользователь на моем сайте вбивает логин и пароль от стороннего сайта.
2. Я отправляю эти данные на сторонний сайт, он мне отвечает, что такой пользователь действительно есть и его Имя.
3. Я говорю пользователю, что все ок - данные верные.

ad3w
1. Пользователь на моем сайте вбивает логин и пароль от стороннего сайта.

Это прямое нарушение безопасности, кто в здравом уме будет на вашем сайте давать пароль, например, от своей почты?

Я на своем сайте подключаю Логинзу.
Логинза открывает открывает https-окно того сайта, на котором зарегистрирован пользователь и куда он отсылает пароль (это OpenID провайдер), мне на мой сайт возвращается при успешной авторизации ID, адрес почты, ФИО и т.п. вещи.
Какие именно - зависит от сайта.

ЗЫ
Некоторые OpenID провайдеры почты не дают. Например, ВКонтакте или Одноклассники.

Lexander
Это прямое нарушение безопасности, кто в здравом уме будет на вашем сайте давать пароль, например, от своей почты?

Спасибо, я в курсе. Я просто привел этот пример в качестве объяснения алгоритма. В этом и суть этого топика, чтобы не делать так, а авторизовать пользователя на самом сайте, где он зарегистрирован.

Вы, наверное, немного не поняли. Суть не авторизовать пользователя через социалки, которые предоставляет логинза, а сделать метод для авторизации на ЛЮБОМ сайте с минимумом действий со стороны владельца сайта.

Так может зайдем с другой стороны.
Кто ваши (условно) клиенты, для кого сервис:
- владельцы сторонних сайтов - не провайдеры OpenID
- интернет-пользователи
?

Вы, вроде бы, хотите сами сами стать провайдером OpenID, собирая у себя данные интернет-пользователей и, одновременно, базу владельцев сайтов (такой себе белый список).

Но зачем тогда владельцу стороннего сайта передавать вам вообще какие-то данные (ID, ФИО)?

Тогда вы уже не OpenID провайдер, ну или по крайней мере довольно странно собираете себе базу физлиц для последующей работы в качестве OpenID провайдера.

Как быть с законодательством, которое во многих странах прямо запрещает передавать данные физлиц третьей стороне, в данном случае - вам?

И я вообще не понимаю, что заставит интернет-пользователя использовать авторизацию на вашем сайте вместо гугла, фейсбука, твиттера или яндекса, которым он изначально доверят больше?

Оригинальный вопрос был про технологию, а не про законодательство. Пользователь сам будт логиниться и подтверждать.

В общем все понятно стало - или oauth или что-то аналогичное ему написать.

ad3w
Оригинальный вопрос был про технологию, а не про законодательство.

Вы бы еще про написание вируса спросили и сетовали на не технические ответы. :)

Я и свои сервисы разрабатывал, и Логинзу использовал.
Но, прежде чем ответить, хочу получить полное представление о вашем сервисе.
Не хотите объяснять? Ну и ладно.

Lexander
Вы бы еще про написание вируса спросили и сетовали на не технические ответы. :)

Ну как бы здесь все нормально. Просто подключаются сайты (клиенты). Дальше мои пользователи могут подключить свой аккаунт на сайте клиента. Сайт-клиент будет отправлять мне материалы, которые я должен передать пользователю. Для этого и нужно подтверждение аккаунта на сайте-клиенте, чтобы доставить от него данные пользователю у меня на сайте.

Представьте агрегатор, где не я собираю данные, а сайты отправляют мне. Сообщение может быть для всех пользователей этого сайта или конкретного пользователя. То есть у пользователя собирается много данных со многих сайтов.