OpenID

Sziasztok!











Egy ideje filozok valamin… Nagyon sok leirast lattam mar, hogy hogyan ovjunk meg egy wp blogot. De szerintem ahol lehetoseg van user/pass -al valo belepesre, a legtobb biztonsagi megoldas mind csak idohuzas.











Az OpenID szolgaltatok ingyenes tanusitvanyt adnak, ami beepul a bongeszodbe. Ezutan lehetoseg van arra, hogy csak a tanusitvannyal tud hasznalni az account-ot. (Magyarul, le lehet tiltani a jelszavas hozzaferest.)











A kerdesem, lehetoseg van arra, hogy a Wordpress-ben is letilthato legyen a jelszavas belepes es csak az OpenID azonositoval lehessen belepni?











Tudom ez sem adna 100%-os biztonsagot, de azert megis jobb lenne egy fokkal. Koszonom a valaszokat!











Ui.: A wp-login.php -t mar atirtam, ahol egy szep input mezo fogad ami csak egy openid-t fogad el. A belepes mukodik, de ettol meg lehet ugyanugy nem csak openid-vel belepni.

OpenID pluginban van ilyesmi beállítás.

Ezt a plugint hasznalom. De csak a frissen regisztraltakra vontatkozoan lehet bepipalni, hogy ervenyes openid nelkul ne tudjanak regelni. De akkor gondolom azt is meg lehet oldani, hogy a meglevo felhasznalo(ka)t is csak ervenyes openid azonositoval engedjen be. (Nem a hozzaszolasokra ertem, hanem a wp-admin belepesere.)

Előszöris minden meglévő userednek hozzá kell rendelni egy OpenID azonosítót. Ezt maga meg tudja csinalni. Aztán szépen beléptetsz egy usert ilyen módon, hogy be van kapcsolva a csak OpenID belépés, aztán megnézed, hogy rak e valami extra dolgot az adatbázisba, innét kezdve meg ezt el tudod végezni a meglévő userreidre is

De attol meg ugyanugy hasznalhatjak a jelszavukat, nem? A kerdest ugy is feltehetnem, hogy letezik-e olyan megoldas, amivel jelszomentesen lehet elerni a wp-admint?











Irok egy gyakorlati peldat. Az ssh-nal letezik olyan, hogy generalsz egy sajat kulcsot, es letiltod a jelszavas belepest. Ezaltal csak a titkos-publikus kulcsparossal tudod azonositani magad. Elmeletben biztos lehet a wordpress-ben is bongeszobe importalt tanusitvannyal (vagy hasonloval) azonositani a felhasznalot, emelett letiltani a jelszavas belepest. (A mondat elso resze ment magamtol is, de a masodikra nem talalok valaszt.)











Kiegeszites: Es vegre talaltam egy bejegyzest, ami ezzel foglalkozik, es magyarul van. Plusz az OAuth-ot is megemliti. Itt: http://webakademia.hu/2008/10/aktualis-openid-oauth/ Hatha igy erthetobb mit is szeretnek.

Ha minden igaz, ha ezt bekapcsolod az OpenID pluginba, akkor csak OpenID-vel léphetnek be a userek, jelszóval nem.











De már rég kipróbálhattad volna :wink:

Bocsi, de mit is kell bekapcsolnom? smile.gif Amugy valahol azt olvastam, hogy a 2.8-ban mar benne lesz az “ujfajta” autentikalas.

hoppá, az új OpenID-ből eltünt ez az opció.

Oh, az kar frown.gif Azert koszi, hogy kitartoan segitesz wink.gif Most mar bonyolitottam a dolgot, igy hat lehet majd a vegeredmenyt leirom, ha sikerul. Csak sajna keves leirast talaltam… :S











Most igy nez ki a folyamat: wp-login.php -> OpenID -> VidoopConnect -> wp-login.php

Viszont, találtam lehet egy másik megoldást.











RPX nevű plugin. Ha minden igaz itt is be lehet ilyesmit állítani (kipróbálni nem tudtam, a tárhelyemen nincs curl).











Ezzel viszont nem csak OpenID, hanem Google, és Live meg Facebook belépés is lehetséges (persze ezt magad engedélyezheted)

Bocsi Charlie!











A Google-val nem, hanem az OpenID, Facebook, MySpace, és Windows Live ID még a lehetséges jelszó nélküli belépés.











Éppen ma frissítették: http://wordpress.org/extend/plugins/rpx/

Én még mindig a Google Friend Connect API-t tartom a megfelelő megoldásnak.


Farkas Győző wrote:

Bocsi Charlie!





A Google-val nem, hanem az OpenID, Facebook, MySpace, és Windows Live ID még a lehetséges jelszó nélküli belépés.





Éppen ma frissítették: http://wordpress.org/extend/plugins/rpx/








De, a googleval is lehet.





https://signin.rpxnow.com/openid/v2/signin?token_url=https%3A%2F%2Frpxnow.com%2Ffinish





(bár, lehet, hogy ehhez a G OpenID dolgait használja, de ettől függetlenül lehet)

Koszonom mindenkinek, az rpx is tetszik. Uj hozzaszolokat jobb igy azonositani, bar nem konnyu beallitani… az admin-on csak az API-t lehet beirni. De teljes jelszo-mentesseget ez sem ad meglevo user-ekre, ugyanugy be lehet lepni a wp jelszoval is.











Pedig… Lehetne ket lehetoseg…




  • csak alapertelmezett beleptetes




  • csak “kulsos” beleptetes











    Viszont nem adom fel, tuti van megoldas erre smile.gif Most az Oauth-al probalkozom…

charlie wrote:







De, a googleval is lehet.





https://signin.rpxnow.com/openid/v2/signin?token_url=https%3A%2F%2Frpxnow.com%2Ffinish





(bár, lehet, hogy ehhez a G OpenID dolgait használja, de ettől függetlenül lehet)











Yes Sir! :)





Csak kétféle dologról beszéltünk. Te az RPX-ről (https://rpxnow.com/how_it_works), én meg a wp-rpx-bővítményről. :)

Farkas Győző wrote:



charlie wrote:







De, a googleval is lehet.





https://signin.rpxnow.com/openid/v2/signin?token_url=https%3A%2F%2Frpxnow.com%2Ffinish





(bár, lehet, hogy ehhez a G OpenID dolgait használja, de ettől függetlenül lehet)











Yes Sir! :)





Csak kétféle dologról beszéltünk. Te az RPX-ről (https://rpxnow.com/how_it_works), én meg a wp-rpx-bővítményről. :)








ja, de a wp rpx bővítmény csak annyit csinál, hogy nem neked kell kézzel az RPX dolgait bemahinálni. Azért kell az api key, mert az oldalt használja az azonosításhoz. csak ez a plugin beállítja a wp-t, hogy mennyen azzal.





ezért nem is lehet semmitse állítani magában a pluginben.

Ha mar ajanlotattok mas modszert is, gondoltam megosztom ezt. Szoval rabukkantam egy tobb mint 10 helyrol azonositos pluginra, ami (csak) a hozzaszolokat kezeli.





http://wordpress.org/extend/plugins/third-party-accounts-login/





Itt alul lathato eloben.











Mengeztem a plugin keszito oldalat, ahol utal mas oldalakra. Sok velemenyt lattam, miszerint onmagaban az OpenID “alkalmatlan”, mert bonyolult regisztralni a mezei felhasznaloknak, megjegyezni a linket, meg stb… Lehet benne valami :S











Forgalmas oldalakon van errol tapasztalat? Pl.: hogy hanyan hasznaljak, ertik-e mit es hogyan, hasznosnak tartjak-e, stb…

a felhasználóknak már egy URL megjegyzése, (a megértésről ne is beszéljünk…) bonyolult…











ha a sima felhasználókon mullana minden nem lenne semmi.