اپن‌آی‌دی

تعریف
اُپن‌آی‌دی (به انگلیسی: OpenID) یک سامانه single sign-on است. با استفاده از وب‌گاه‌های پشتیبان از اُپن‌آی‌دی، کاربران وب نیازی به خاطر سپردن نشانه‌های رایج شناسایی مانند نام کاربری و گذرواژه نخواهند داشت. به جای آن، تنها به ثبت نام در یک وب‌گاهِ «ارائه هویت» نیاز خواهند داشت. از آنجایی که اپن‌آی‌دی نامتمرکز است، هر وب‌گاه دیگری می‌تواند از نرم‌افزارهای اپن‌آی‌دی به عنوان یک روش برای ورود کاربران خود استفاده کند؛ اپن‌آی‌دی مسئله را بدون این‌که به هیچ وب‌گاه مرکزی برای تایید هویت دیجیتالی اعتماد کند بر طرف کرده است.

اپن‌آی‌دی به صورت فزاینده‌ای در حال استفاده در میان وب‌گاه‌های بزرگ است، سازمانهایی مانند ای‌او‌ال در نقش ارایه‌گر فعال هستند. همچنین، پشتیبانی درون‌سازی شده از اپن‌آی‌دی در مرورگر موزیلا فایرفاکس نگارش ۳ در دست پیاده‌سازی با اولویت بالا است و مایکروسافت هم بروی پیاده‌سازی نسخه نگارش ۲ اپن‌آی‌دی برای استفاده در ویندوز ویستا کار می‌کند.

تاریخچه
اپن‌آی‌دی در اصل به‌وسیله براد فیتزپاتریک در لایوجورنال گسترش داده‌شد، اما اکنون این واژه دربرگیرنده هویت سبک‌وزن، یادیس، پروتکل DIX از Sxip که درIETF ارایه شد، و اکس‌آر‌آی/i-name می‌شود. مشخصات آینده اپن‌آی‌دی به یک شیوه شایسته‌سالارانه در سایت که از تکنولوژی‌های مختلف و گسترش‌دهندگان متن‌باز سود می‌برد، در دست گسترش است.

برای کمک به گسترش بیشتر استفاده، یک گروه از عرضه کنندگان اپن‌آی‌دی مبلغ ۵۰،۰۰۰ دلارآمریکا هزینه کرده‌اند. برای هر یک از ۱۰ سایت نخستی که از اپن‌آی‌دی در مقیاس بزرگ استفاده کند، مبلغ ۵،۰۰۰ دلار داده می‌شود.

هم اکنون کار روی شناسایی اپن‌آی‌دی ۲.۰، که از یادیس به عنوان پروتکل کنکاش سرویس استفاده می‌کند در حال انجام است. اپن‌آی‌دی اکنون می‌تواند از پروتکل‌های مختلفی برای سرویس شناسایی استفاده کند.

استفاده از اپن‌آی‌دی
یک واژه‌نامه ابتدایی شامل واژگان زیر می‌شود:
کاربر پایانی
شخصی که می‌خواهد هویت خود را برای یک سایت ثابت کند.
شناسه
یو.آر.آل یا اکس‌آرآی انتخاب شده برای کاربر پایانی به عنوان شناسه اپن‌آی‌دی.
ارایه‌گر شناسایی یا ارایه‌گر اپن‌آی‌دی
یک ارایه‌گر سرویس که ثبت یوآرال‌ یا اکس‌آرآی‌ها را برعهده دارد و شناسایی کاربران را نیز انجام می‌دهد (و شاید سایر خدمات شناسایی). توجه کنید که در تعریف مشخصات اپن‌آی‌دی از واژه «ارایه‌گر اپن‌آی‌دی» یا «OP» استفاده می‌شود.
بخش اعتمادکننده
سایتی که می‌خواهد هویت کاربر پایانی را بررسی کند.
سِروِر یا نمایند-سِرور
 سروری که شناسه کاربر پایانی را بررسی می‌کند. ممکن است این سرور شخصی کاربر باشد(مانند وبلاگ کاربر)، یا یک سرور که توسط ارایه‌گر شناسه بکار گرفته می‌شود.
گماشته-کاربر
برنامه‌ای (مانند مرورگر) که کاربر پایانی از آن برای دسترسی به ارایه‌گر شناسایی یا یک بخش اعتمادکننده، استفاده می‌کند.
مصرف‌کننده
یک واژه از رده خارج برای بخش اعتمادکننده.

ورود
یک وب‌سایت، مانند example.com، که می‌خواهد ورودی‌های اپن‌آی‌دی را برای بازدیدکنندگان خود فعال سازد، یک برگه ورود در جایی از صفحه قرار می‌دهد. برخلاف برگه‌های ورود مرسوم، که از کاربر می‌خواهند تا نام‌کاربری و گذرواژه خود را در آن وارد کند، در این برگه تنها یک جای خالی قرار می‌گیرد که برای شناسه اپن‌آی‌دی است. سایت ممکن است یک نمایه کوچک اپن‌آی‌دی نیز در کنار فیلد ورودی قرار دهد. این برگه به یک پیاده‌سازی از کتابخانه نرم‌افزاریِ اپن‌آی‌دی متصل است.

اگر کاربرِ آلیس بخواهد به example.com با استفاده از شناسه اپن‌آی‌دی خود alice.openid-provider.org که او قبلا در ارایه‌گر شناساییِ openid-provider.or ثبت کرده، متصل شود، او به سادگی باید به example.com برود و در برگه ورودی اوپن‌آی‌دی تایپ کند alice.openid-provider.org.

اگر شناسه یک یوآرال است، اولین چیزی که بخش اعتمادکننده (example.com) انجام می‌دهد، انتقال کاربر به درون یک برگه متعارف مانند http://alice.openid-provider.org خواهد بود. به‌وسیله اپن‌آی‌دی ۱.۰، بخش اعتمادکننده سپس درخواست صفحه وِبی که در آن یوآرال نهاده شده (از طریق یک پیوند اچ‌تی‌اِم‌اِل) را می‌کند و متوجه می‌شود که سِرورِ ارایه‌گر مثلاً http://openid-provider.org/openid-auth.php است. همچنین متوجه می‌شود که آیا باید از یک شناسایی وکالتی (متن زیرین را ببینید) استفاده کند یا نه. از اپن‌آی‌دی ۲.۰ به بعد، مشتری با مستند XRDS (به نام مستند یادیس نیز خوانده شده) که با نوع محتوایِ application/xrds+xml که ممکن است در یو‌آراِل مقصد موجود باشد(در اکس‌آرآیِ مقصد همیشه موجود است)، عمل بررسی را انجام می‌دهد.

**دو حالت برای برقراری ارتباطِ بخش اعتمادکننده با ارایه‌گر شناسایی وجود دارد:

checkid_immediate، که ماشین-گرا است و تمام ارتباطات بین دو سِرور در پشت صحنه، بدون اطلاع کاربر انجام می‌گیرد;
checkid_setup، که در آن کاربر به‌وسیله مرورگر خود با سِرور ارایه‌گر به شکل مستقیم ارتباط برقرار می‌کند (به همان شکلی که با بخش اعتمادکننده ارتباط برقرار می‌کند).
دومین گزینه در وب بیشتر طرفدار دارد؛ همچنین،‌checkid_immediate می‌تواند به عنوان جایگزین برای checkid_setup در صورت بروز مشکل استفاده شود.

اول، بخش اعتمادکننده و ارایه‌گر (اختیاری) یک رمز مشترک - یک ابزار همکاری، که بخش اعتمادکننده نگهداری می‌کند - برقرار می‌کنند. اگر از checkid_setup استفاده شده باشد،بخش اعتمادکننده مرورگر وب کاربر را به سوی ارایه‌گر بازمی‌گرداند. در این مورد، مرورگر آلیس(کاربر) به سوی openid-provider.org بازگردانده می‌شود پس آلیس می‌تواند خودش را به ارایه‌گر معرفی کند.

روش شناسایی‌کردن ممکن است چندگانه باشد، اما بطور مرسوم اپن‌آی‌دی یک گذرواژه می‌خواهد (و احتمالاً وضعیت نشستِ کاربری را با استفاده از کوکی‌ها، به همان گونه که بسیاری از سایت‌ها به‌وسیله شناسایی گذرواژه‌ای انجام می‌دهند؛ثبت می‌کند). اگر آلیس هنوز وارد openid-provider.org نشده باشد، از او گذرواژه‌اش درخواست می‌شود و سپس به او گفته می‌شود که به کجا اعتماد می‌کند. فرض می‌کنیم http://example.com/openid-return.php - صفحه‌ای که به‌وسیله example.com طراحی شده تا کاربر پس از تکمیل وضعیت شناسایی به آن بازگردد. اگر آلیس تصمیم تا به بخش اعتمادکننده، اعتماد نکند مرورگر همچنان بازگردانده می‌شود. هرچند به بخش اعتمادکننده اطلاع داده می‌شود که درخواستش رد شده، پس example.com از شناسایی آلیس سرباز می‌زند.

عمل ورود هنوز تمام نشده زیرا در این مرحله،‌example.com نمی‌تواند تصمیم بگیرد که آیا گواهی‌نامه‌های دریافت شده واقعا از openid-provider.org آمده‌اند. اگر آنها قبلا یک رمز مشترک برقرار کرده‌باشند(بالا را ببینید)، بخش اعتمادکننده می‌تواند رمزمشترک دربافت شده را با قبلی که ذخیره کرده‌بود مقایسه کند. یک چنین بخش اعتمادکننده‌ای وضعیت‌دار نامیده می‌شود زیرا که رمزمشترک در بین نشست‌ها ثبت می‌شود. در مقایسه، یک بخش اعتمادکنندهِ بدون وضعیت باید تقاضاهای پشت صحنه بیشتری (check_authentication) برای اطمینان از درستی داده‌هایی که از openid-provider.org می‌آیند، ارسال کند.

پس از این‌که شناسه آلیس بررسی شد، او تصمیم می‌گیرد تا به example.com به شکل alice.openid--provider.org وارد شود. این سایت ممکن است بعد نشست را نگهداری کند، اگر این اولین ورود او است، سایت از آلیس می خواهد تا برخی اطلاعات مختص example.com را تکمیل کند.

اپن‌آی‌دی روش اختصاصی برای تصدیق هویت ندارد، اما اگر یک ارایه‌گر شناسه از تصدیقی نیرومند استفاده کند، اپن‌آی‌دی می‌تواند برای تراکنش‌های ایمن مانند بانک‌ یا تجارت الکترونیک استفاده شود.

شناسه‌ها
از نگارش ۲ اپن‌آی‌دی به بعد، برخی انواع شناسه‌ها می‌توانند همراه اپن‌آی‌دی استفاده شوند: یوآرال‌ها و اکس‌آرآی‌ها.

**دو راه برای استفاده یوآرال‌ها در یک وب‌گاه فعال برای اپن‌آی‌دی وجود دارد:

1. آدرس یک یوآرال موجود که شخص مالک آن است (مثل وبلاگ یا صفحه شخصی)، که اگر کسی با اچ‌تی‌ام‌ال آشنا باشد می‌تواند برچسب‌های لازم برای اپن‌آی‌دی که در مستندات آن آمده را بکاربگیرد.
2. راه دوم ثبت یک شناسه اپن‌آی‌دی در یک ارایه‌گر شناسایی است. آنها این امکان را می‌دهند تا یک یوآرال (معمولاً یک زیردامنه) که به طور خودکار با اپن‌آی‌دی پیکربندی می‌شود، ثبت گردد.
اکس‌آرآی‌ها یک نوع جدید از شناسه‌های اینترنتی هستند که برای شناسایی دیجیتالی میان‌دامنه‌ای طراحی شده‌اند. برای مثال اکس‌آر‌آی‌ها به دو شکل آی-نِیمها و آی-نامبرها که معمولاً هم زمان با یک معنا بکارگرفته می‌شوند، وجود دارند. آی-نیم‌ها قابل واگذاری هستند(مانند نام‌ دامنه‌ها)، درحالی که آی-نامبِر‌ها هرگز واگذار نمی‌شوند. هنگامی که یک آی-نِیمِ اکس‌آر‌آی به عنوان شناسه استفاده می‌شود، در همان حال هم‌معنای عددی آن یعنی آی-نامبر نیز بازگردانده می‌شود (عنصر CanonicalID از مستند XRDS). این آی-نامبر شناسه اپن‌آی‌دی است که توسط بخش اعتمادکننده ثبت می‌گردد.

بکارگیری
تا جولای ۲۰۰۷، بیش از ۱۲۰ میلیون اپن‌آی‌دی روی انترنت وجود دارد‌(پایین را ببینید) و در حدود ۴،۵۰۰ وب‌گاه از مصرف کننده اپن‌آی‌دی با درآمیختن با آن پشتیبانی می‌کنند.

اِی‌اُاِل از اپن‌آی‌دی ها در پوشش آدرس http://openid.aol.com/screename پشتیبانی می‌کند.

idproxy.net از اپن‌آی‌دی برای کاربران یاهو پشتیبانی می‌کند.

سیکس اِپارت و لایوجورنال هم به عنوان ارایه‌گر و هم به عنوان بخش اعتمادکننده از اپن آی‌دی حمایت می‌کنند.

OpenID Enabled فهرستی از تمام وب‌گاه و منابع مرتبط با اپن‌آی‌دی

اپن‌آی‌دی ایران که با کمک OpenID Source Initiative راه‌اندازی شده و اولین ارایه‌گر اپن‌آی‌دی به کاربران ایرانی است.

بنیاد اپن‌آی‌دی
سایت بنیاد اپن‌آی‌دی که یک شرکت غیرانتفاعی است و برای کمک به ترویج استفاده از اپن‌آی‌دی در آمریکا راه‌اندازی شده. هدف این شرکت این است تا احتمال سواستفاده شرکت های بزرگ از اپن‌آی‌دی را با ثبت مارک‌ها تجاری،تکنولوژی‌های مرتبط و حفاظت از دست‌آوردهای جامعه متن‌باز، به حداقل برساند.

اشخاص
بنیاد اپن‌آی‌دی هفت عضو مدیریت دارد:

(Scott Kveton (MyStrands
(David Recordon (Six Apart
(Dick Hardt (Sxip
Martin Atkins
(Artur Bergman (Wikia
(Johannes Ernst (NetMesh
(Drummond Reed (Parity and OASIS XRI and XDI TCs
و یک مدیر اجرایی:
(Bill Washburn (Ph.D
و یک هماهنگ‌کننده در اروپا:
(Snorri Giorgetti (OpenID Europe

همکار اروپایی [اپن‌آی‌دی اروپاhttp://openideurope.eu ] در ژوئن ۲۰۰۷ تأسیس شد که یک سازمان غیر انتفاعی است که برای گسترش اپن‌آی‌دی در اروپا تأسیس شده‌است. اپن‌آی‌دی اروپا از همتای خود بنیاد اپن‌آی دی مستقل است. محل دفتر مرکز این سازمان در پاریس است.

مسایل قانونی
شرکت R-Objects Inc. یک شکایت برای مارک‌تجاری اپن‌آی‌دی در ۲ ژوئن ۲۰۰۶ پر کرد.که مدعی بود این مارک متعل به اوست. به کمک اشخاصی از سازمان سیکس‌اِپارت این مارک به یک سازمان وابسته به اپن‌آی‌دی بازگردانده شد.

سیکس‌اِپارت ثبت کننده رسمی اپن‌آی‌دی است.

انتقادها
برخی ناظران عقیده دارند که اپن‌آی‌دی در مقابل حملات phishing ضعف‌هایی دارد.

برای نمونه، یک بخش اعتمادکننده آلوده ممکن است کاربرپایانی را به یک ارایه‌گر تقلبی بفرستد و صفحه شناسایی از کاربر بخواهد که گواهی‌نامه خود را به وی بسپارد. به علاوه ممکن است ارایه‌گر به صفحه کاربر در بخش‌اعتمادکننده دیگری دسترسی پیدا کند.

برای جلوگیری از این اتفاق برخی ارایه‌گرها کاربر را مجبور به شناسایی کاربر در خودشان می‌کنند و سپس او را به بخش‌اعتمادکننده می‌فرستد.

انتقاد دیگر،‌پیچیدگی زیاد اپن‌آی‌دی است که منجر به پیشرفت کند آن شده است. همچنین این باعث کاهش کیفیت خدمات نیز می‌شود