(программистское)

[jsn]

Am I missing something huge, or did Yahoo indeed went to great lengths to make their OpenID *and* OAuth support utterly useless (borderline harmful, in fact) for any purposes related to, eh, identification? It's called "Open *ID*", for Pete's sake. The consumer should be given an unique, recognizable, human readable identification name or URL or something. What they give you instead is a pair of Last name, First name (practically guaranteed to be non-unique, and user-editable anyway), and God-awful random token a few miles long, useless for every practical intent and purpose. No usable nickname, no profile link, no email, nothing. WTF were they thinking? So okay, OpenID was a damn mess to start with, but then they go ahead and implement the new shiny OAuth spec, hooray! Oh wait, here we go again: no nickname, no profile link, and an ugly useless random token. F-ng atrocious.

Comments

[jsn.livejournal.com]

Галка "также отправить мой комментарий в facebook", например, последнее время встречается периодически. Аватар можно пихать только через нестандартные AX-атрибуты, но какой аватар? Сейчас facebook и/или twitter (не помню) даёт на выбор разые картинки через свои API, конзьюмер может выбрать подходящую под его нужды. Любой сервис, позволяющий аплоадить / создавать / рекомендовать какой-либо контент (комментарии, в принципе, частный случай), может предлагать транслировать это дело обратно в facebook / twitter. Любой сервис, предоставляющий рекомендации по чему-либо в какой-либо момент, может хотеть смотреть на самые разные части социального графа. Это всё не то чтобы прям advanced use cases, на самом деле.

[stas]

Галка "также отправить мой комментарий в facebook", например, последнее время встречается периодически.

Это, ПМСМ, gaping security hole - доверять какому-то сайту постить от моего имени комментарии в фейсбуке. Потому как никакого способа сказать "этот комментарий можно, а остальные нельзя", натурально, нет. Т.е. теперь вопрос о появлении червяка, который утащит эти токены и устроит всем фейсбучникам много лулзов - это вопрос только "когда".

Ну и - это ведь уже далеко не identity, это write access. Это совершенно другой юзкейс.

[jsn.livejournal.com]

Это неважно, что мы с вами думаем по поводу этой услуги. Важно, что по этому поводу думают участники трёхсторонней транзакции: facebook, сайт с комментами, и собственно комментер. Если они все сходятся в том, что хорошо бы такую функциональность иметь, то они её поимеют.

Разумеется, это не identity. Интеграция с federated login в общем случае не сводится к identity. Which is exactly the point I'm trying to make.

Токены фейсбучные утекают регулярно, я полагаю. Фейсбуковская автоматика ловит, полагаю, такие случаи на взлёте и не вспотев. Но будут и fuck up-ы, чего ж. Не следует думать, что вовлечённые стороны не в курсе этого риска.