Identity Management (IdM) and Modern Evergreen Music

OpenID におけるセッション管理

(Translate to English)

Tuesday Nov 06, 2007

どうやらはてなスターでは, ユーザが OpenID を使ってログインした段階で, ローカルにそのユーザのログイン・セッションを生成するっぽい. でも OpenID の現行の仕様にはシングル・ログアウトが定義されていない (というか過去の議論 *1 *2 *3 を読む限りでは, 意図的に定義しない) から, OpenID プロバイダ側でログアウトしても, はてなスター側のログイン・セッションは破棄されずに残ることになる.

どう対処するかを勝手に考えてみた:

  1. OpenID の仕様上, これは期待どおりの挙動なので, なにも対応しない
  2. はてなスター側でログイン・セッションを管理するけど, セッションの有効時間を比較的短くする (30 秒とか, 5 分とか)
  3. OpenID でログインしている場合には 「xxx という OpenID でログインしています. はてなスターからのログアウトはこちら」 と表示する
  4. はてなスター側ではログイン・セッションを管理せずに, OpenID URL の妥当性を毎回確認する (かなり使い勝手が悪くなりそう)
  5. OpenID プロバイダでログアウトしたときに, 同時に使っていた Relying Party でもログアウトするような, ブラウザのアドオンを開発する
  6. OpenID におけるシングル・ログアウトの仕様を提案する

個人的には 2. がいいかなと思う. 最後のふたつはたぶんないだろうな...

[2] Comments
Like this post? del.icio.us | furl | slashdot | technorati | digg
Posted at 01:16PM Nov 06, 2007 by Tatsuo Kudo in Identity Management
Tags:
Comments:

(個人的には)決していいこととは思わないけど、ずーと、1のままだと思う。OpenID って、そもそも、ユーザの”感覚”とか”experience"を重要視した、というかシュミレートして出てきている。今、現在、実際のサイトにて、どれだけの割合の人が、「ログアウト」をしているだろうか。殆どの人が、ほったらかしていつのまにかタイムアウト、もしくはブラウザを終了させてしまうのでは?日本で言えばmixi って、ログアウトする人は限りなくゼロに近いのでは?また、携帯のサイトもそうでしょう。ログアウトするのに、トランザクション発生して課金される(例外はないと思うけど)のだから、切った方が得策、と考えますね。
事件が起きてから(社会的なクレームが入る等も含む)で2として対処するのでは。

Posted by shita on November 06, 2007 at 07:51 PM JST #

1ですかね。
そういうもんだと理解しています。

Posted by kimimasa on November 07, 2007 at 11:21 PM JST #

Post a Comment:
Comments are closed for this entry.
« Opolopo のライブ | Main | Sun Tech Days 2007... »