OpenID : un malentendu en puissance?

J’avais il y a quelques temps abordé ici les avantages liés à OpenID. Et j’apprécie de pouvoir utiliser une telle méthode d’authentification sur de plus en plus de sites. Pour rappel, il s’agissait d’utiliser, au lieu du traditionnel couple « login/password », une simple URL – sur laquelle ont été installé quelques outils spécifiques – qui se chargerait de notre identité. Excellente idée, si ce n’est qu’il ne faut pas perdre de vue que la seule chose que prouve cette méthode, c’est que nous sommes bien l’utilisateur lié à l’URL en question. Ainsi, si je dispose d’un OpenID en http://example.net/olivier, alors je pourrais me connecter aux services compatibles comme étant ce fameux « example.net/olivier ».

Dans les derniers à avoir rejoint le train, il y a Google. Et c’est là que le bât blesse. La version Google ne respecte pas cette logique « une URL = une identité », puisque tout le monde est censé utiliser la même adresse (http://gmail.com à terme, un truc plus cryptique en attendant). Et donc, toute solution OpenID qui se serait – assez logiquement – appuyé sur l’OpenID pour identifier l’utilisateur (plutôt que de stocker un nom d’utilisateur, on stocke une URL, le principe est assez similaire) va se retrouver incapable de fonctionner avec Google et les services du même type. Puisque tous les utilisateurs issus de Google seront nommés « https://www.google.com/accounts/o8/id ». Pas très sexy.

Leur approche a fait couler beaucoup d’encre depuis, et on trouve nombre d’arguments aussi bien pour que contre. Un point qui a été assez peu abordé, en revanche, c’est ce problème lié à la perte de l’unicité de l’URL. Selon certains, le standard OpenID n’impose pas une telle unicité. L’ennui, c’est que beaucoup des premiers consommateurs d’OpenID se sont appuyés sur ce postulat. Si réellement la spécification n’imposait pas cela, il eut été bon de le préciser dès le début.

Et vous, qu’en pensez-vous?

Comments are disabled for this post