softwerkskammer/Agora

RelMeAuth / OAuth

Opened this issue · 3 comments

DivineDominion commented

Mir ist heute zum Ersten mal aufgefallen, dass "ein anderer OpenID Provider" beim Anmelden akzeptiert wird. Ich würde gern pitchen, RelMeAuth zu supporten:
https://indieweb.org/RelMeAuth

Der Trick ist:

  1. janedoe.name: Persönliche Website verweist auf externen OAuth Provider via rel=me
  2. z.B. twitter.com verweist zurück auf die eigene Webseite, ebenfalls via rel=me
  3. softwerkskammer.org erhält das OK von Twitter, speichert aber janedoe.name als eigentlichen Provider

-- so kann Jane Doe ihren Authentifikator wechseln, ohne externe Services davon in Kenntnis setzen zu müssen. Die persönliche URL bleibt als Proxy der offizielle Provider.

Wäre Interesse da? Wird das zu bloated? (Implementierung würde ich in einem PR dann selbst vorschlagen.)

leider commented

Hi,
kannst Du etwas ausführlicher werden?

  • Was müssen wir in der Agora machen?
  • Was muss ein Nutzer tun?

Grundsätzlich sind wir offen für alles.

Gruß,
Andreas

DivineDominion commented

Nutzer müssen irgendeinen RelMeAuth-kompatiblen Provider haben, z.B. Twitter oder GitHub. Dann müssen sie auf ihr Profil bei ihrem Provider von ihrer eigenen Website aus verlinken, z.B. in den Metadaten via <link rel="me" href="https://github.com/DivineDominion">

Agora müsste eine Eingabemaske anbieten (man könnte das OpenID-Feld nutzen und sowohl OpenID als auch RelMeAuth damit versuchen) und das Protokoll implementieren, z.B. über das npm package relmeauth

(IndieAuth könnte man auch in betracht ziehen aber weil das mehr als nur eine two-way-rel=me-confirmation ist, die theoretisch jeder mit Website vornehmen kann, will ich das hier nicht vertreten.)

NicoleRauch commented

Also ich hab vor Jahren mal IndieAuth erfolgreich genutzt für die Authentifizierung in der Agora, und zwar über das OpenID-Feld. Allerdings ist IndieAuth dann irgendwann kaputtgegangen (hat nicht mehr zuverlässig funktioniert, war vielleicht down oder so?) und damit war das Thema für mich durch... Wie siehst Du denn die Zuverlässigkeit bei RelMeAuth?

Was ich ja nicht verstehe: Warum nutzen solche Anbieter nicht einfach existierende Protokolle, wie z. B. OpenID? Dann könnte man das OpenID-Eingabefeld in der Agora einfach benutzen. So aber sind sie mit ihrem Erfolg davon abhängig, ob andere ihr proprietäres Protokoll umsetzen.