当地时间28日，Six Apart株式会社、日本VeriSign株式会社和野村综合研究所共同发布了一项公告，宣布将建立日本OpenID基金会，开展OpenID在日本的普及和推广活动。 前不久，OpenID基金会接纳了一些业界巨头作为董事会成员，他们相信只有更顶尖的技术成员的参与，才能真正帮助OpenID解决一直以来的最大问题——推广；同时基金会也在世界各地，鼓励各自的当地社区成立分部以进一步支持和推动OpenID。 此次建立日本分部的三家发起人，均是日本国内OpenID推广的有力支持者。同时共有11家公司及组织，将作为最初的成员加入日本分部。他们是： Ascent Networks E-context Infoteria Livedoor Mixi @nifty Technorati Yahoo Japan Six Apart NRI VeriSign Japan 这些公司来头都不小，其中Mixi是日本最大的社交网络，远远抛开其他活跃于欧美的著名社交网，垄断本土市场；他们在加入日本OpenID基金会分部后，将随即提供OpenID支持。这种成员的加入，将在OpenID的推广，特别是本地化推广上，起到举足轻重的作用（想像一下QQ支持OpenID的局面）。 OpenID基金会（日本）的最终名称和组织形态还未完全确定，但他们将在4月份获得美国总会的许可后正式建立。OpenID基金会副主席David Recordon在昨天东京的发布会上表示，正如欧洲的本土OpenID社区在2007年OpenID推广活动中所作出的卓越贡献一样，基金会日本分部将在未来扮演同样的角色，帮助将OpenID渗透进日本的主流网络服务中。

在玩了几天CardSpace后，我沮丧的发现php4无法在HostGator上使用Shared SSL，我必须获得独立IP以及一个昂贵的Private SSL，以将InfoCard支持加入Wordpress。但无论如何，我们可以先多了解一下这个方便的认证框架（直到下个月HostGator升级到原生支持php5）。 如果你喜欢没有密码的登陆方式，CardSpace很适合你，也很适合我（至少在TrustBearer将Thinkpad加入列表以前）。尽管支持CardSpace的网站不多，但MyOpenID使得我们可以在所有的OpenID网站上使用Information Card登陆。 这里，我们有必要区分一下，在应用和服务之间传递信息的是Information Card，而CardSpace这个术语是指运行在Windows上的Identity Selector。Identity Selector和Identity Provider（IdP）、Relying Party（RP）构成一个十分类似OpenID的三方认证框架： 用户连接RP并请求用InfoCard登陆验证，RP触发用户端Identity Selector，同时告诉Identity Selector所需要采集的信息段claim； Selector提示用户从一个或多个InfoCard中选择发送给RP，Information Card指向IdP中所存储的必要数据； 一旦用户完成选择，Identity Seletor打开IdP和RP间传输InfoCard的通道，完成claim的传送并关闭。 事实上，CardSpace仅仅在其中扮演三个角色之一，但我们倾向于把整个过程称为CardSpace，更为漂亮的叫法应该是InfoCard或者iCard。这一过程传递了这样的信息： CardSpace作为客户端软件，被包含在.NET Frameworks 3.0及更高版本中，因此除了Vista，你的XP或者2003也可以使用它，只要你安装了.NET Frameworks； 触发Selector的是RP，而非操作系统，因此除了Windows，你的Linux、OSX也可以使用，只要配置了合适的客户端或浏览器插件（1，2，3，4）； Infomation Card是一个指向IdP的指针，因此除了使用CardSpace作为自发行卡商，你还可以在其他IdP上托管InfoCard，CardSpace的自发卡仅含有有限的一些字段，而这种托管卡可以包含任意形式的信息（1，2，3）。 这一切和OpenID有什么关系呢（如果不的话，这篇文章将出现在个人博客而非这里）？Kim Cameron最近po了一段相当精彩的视频片断（包括了对OpenID的简单叙述，适合所有人）来解释CardSpace（是的，请习惯这个不正规的说法）是如何进一步强化OpenID的。 Kim提到，OpenID提供了在wiki、blog以及SNS中进行单点登陆和个人档案快速携带的能力，它缺乏隐私性，因此十分适合在强调交往淡化隐私的这类社交网站中使用（我在上海聚会中提出的另一个观点，即OpenID将在social networking中成为带有局限性、杀手性的应用，还记得XRDS、hCard是如何携带公开的个人信息么？）。 而在对私人信息有一定安全要求的网站中，CardSpace挺身而出。从视频中可以看到，Information Card在传递过程中避免了钓鱼攻击，你不用再担心，丢失的OpenID密码所带来的巨大损失了。利用CardSpace对OpenID的强化，你可以在不同的服务中，使用不同的策略：将财务信息存储在一张信息卡中以便在金融、政府等网站上使用；将私人信息存储在另一张信息卡中以便在医疗、约会这类网站上使用；最后在社交网站上使用OpenID。 Microsoft一直以来在CardSpace上的努力终于没有白费，鉴于CardSpace的这些安全特性，它将和OpenID共存相当长的一段时间，但注意Kim所用的词语：leads to。OpenID leads to CardSpace。 Kim委婉的表示，leads to并不意味着CardSpace将取代（用我的夸张性词汇是：击败，参考上一篇文章）OpenID，而是说，由于CardSpace的种种优越性，当人们开始越来越多的使用跨站式登陆，CardSpace就越能强化OpenID，使OpenID能适应更广泛的需求。对用户来说，摈弃密码是一种最直接的安全性强化，无论是证书、射频还是指纹、虹膜（不要骂我，我真的是懒）。如今OpenID和CardSpace携手并进，但从更高层面上来看，非密码式认证，迟早会战胜密码式认证（至少将密码作为次级的备份），等待这一天的到来吧。

在Linus著名的三段论中，技术产生于基本的生存需求，即技术降低了为达到同样的生存状态而付出的成本；换种说法，我们因为懒惰而创造技术。当用户懒得去记住越来越多的密码的时候，类似豌豆或者1Password的服务诞生；当网站也懒得去管理用户越来越多的密码的时候，OpenID诞生；那些指责OpenID将鸡蛋放在一个篮子里的人，恐怕多数还是会在各种账户中使用同一个密码，因为懒惰从来不是错误；如果当我们连密码都懒得记了呢？ 为了摈弃密码，我们使用一种可以传送认证信息的加密文件，即客户端证书。熟悉银行业务的人对于客户端证书一定有所了解，这种在上世纪90年代就已经存在的技术，被广泛应用于网络银行以及税务申报系统，但在别的地方却很少见，以至一般人极少注意到它的存在。 那它到底存在么（记住，我们始终将话题围绕在OpenID周围）？如果你是一位MyOpenID的用户，恭喜你，它是存在的，并且它就在那儿。MyOpenID提供了这种称为SSL证书认证的登陆模式，在Authentication Settings下，你可以创建一个证书，这张证书被保存在本地，你可以备份并转移这张证书，你也可以在任何你认为安全的终端上创建任意多张证书。一旦证书被创建，它就和你的MyOpenID账户挂钩，当你在MyOpenID登陆的时候，MyOpenID向你的浏览器索取证书并完成验证，然后将你弹回Consumer。如果你想在你的网站上实现SSL认证支持，这篇HOWTO应该有所帮助。 无须密码的登陆过程给人的体验是很神奇的，由多至少的量变效应远远不及从有到无的质变。Microsoft在探索认证框架的时候，也创造了一种沟通用户和联机服务的系统：CardSpace。CardSpace用个人信息卡代替证书，在用户和服务之间充当信使。除了完成认证外，CardSpace还能同时向联机服务发送卡上存储的信息，因此它更符合一个账户系统的需求。 在被原生支持的Vista中，CardSpace拥有和SSL证书一样友好的用户体验。因此在去年上海那次OpenID交流会上，我曾夸张性的提出CardSpace将击败OpenID（估计没有人记得了），但那里的人是为了OpenID而去的——就像你在Joomla论坛提问是Joomla好还是Drupal好无法得到客观的答案一样——没有人理会我。 事实上，CardSpace没有击败OpenID，而OpenID也没有令CardSpace消失，微软在认证领域的努力使他们紧紧跟随OpenID而没有被抛下。如今，MyOpenID（是的，又是MyOpenID，我一直都坚信自己一年前在wiki中所作的判断）将CardSpace也纳入其中。还是在Authencation Settings页面上，你可以发现添加Information Card的小节，通过绑定信息卡，来体验一下不用密码的感觉吧。更早提供CardSpace登陆的OpenID Provider是SignOn，不过JanRain却率先公开了实施CardSpace支持的Python代码，而LinkSafe则神奇的成为一家能用Information Card登陆的i-name注册商（他们同时还是历史上第一个尝试提供免费i-name和i-name托管转移的商家）。 凭借SSL和CardSpace，MyOpenID的用户黏度空前高涨，我实在找不出任何使用其他OpenID Provider的理由。因为对于像我这样时刻携带本子的人来说，证书式认证是抛弃密码的良好解决方案，但无论SSL还是CardSpace，他们最大的问题是不便携：他们是用来在受控终端上使用的，在公共终端或临时在另一台机器上登陆需要繁琐的备份导出过程，这简直是一场用户体验灾难。 那么，除了摈弃密码，另一个方案或许更有前途，那就是替换密码。这方面已经作出尝试有TrustBearer以及更早的爱沙尼亚eID，他们使用更为便于携带的智能卡或USB令牌作为密钥。其中我更为看好TrustBearer，因为在最初的支持列表中，我们看到了指纹识别器，用无法抛弃无须记忆的指纹作为密码，将懒惰式登陆推到极致。 在各种动作或者科幻大片中，我们见识过一些超级安全系统，往往是射频、虹膜、指纹等多重认证，对于安全要求不是很高的普通应用来说，没有密码也是必然的发展趋势，因为懒惰，从来都不是错误。

几天前，Andrew在Google Groups中发布了DotNetOpenID 0.1.1，包含了一些新的特性和安全更新： Added OpenIdTextBox.ShowLogo property to easily show OpenID logo from embedded resource. Added a Remember Me checkbox to the OpenIdLogin control. Added OpenIdLogin.RegisterVisible property. Fixed UTC/Local DateTime inconsistent usage. Fixed bug where one of CheckIdRequest’s constructors would always fail due to passing Uri.AbsolutePath to TrustRoot’s constructor. Improved security by adding TrustRoot validation that was missing from earlier versions. Added OpenIdTextBox.TrustRootUrl [...]

Openvatar 是一家刚刚上线的头像托管服务，支持 OpenID 登录。用户将头像上传到 Openvatar 的服务器上，然后使用 avatar.php 进行调用： http://www.openvatar.com/avatar.php ?openvatar_id=9b2894b2fa12ea24c455f4be9331d3fe &size=50 &default=”http://www.mysite.com/avatar.jpg 博客们最早广泛的接受头像始于 Gravatar ，他们用邮件地址作为用户 ID ，通过插件来实现头像调用，支持的平台相当广泛。内部 Gravatar 和 Openvatar 的调用语法十分相似（几乎一模一样）， avatar id 也是一个 MD5 的邮件地址，同时还有一样的 size 和 default 属性。 随后 Gravatar 经历了一段长时间的掉线，使我们逐渐放弃它，并开始思考分布式（就像 OpenID 一样）的存储方式。 Pavatar 由此诞生。简单的说， Pavatar 更像一种规范而非服务。它用三种方式规定头像文件的位置。 修改 HTTP 头增加 X-Pavatar 属性； 在 HTML 头增加 标签 <link rel=”pavatar” href=”http://example.com/path/my-pavatar.png” />； 类似 favicon.ico 标准，将 pavatar.png 放置在 URL 根目录。 很快，第二名称也推出个人网络图标，而将头像加入 OpenID 协议的讨论也在社区中轰轰烈烈的进行了一段时间，但很快，我们发现这样做显得如此的多余。 Gravatar 因为将某种公开而微小的信息（头像）加密并集中存储而显得多余， Pavatar 则在现有的标准身边尝试创造新标准而显得多余。 是的，这个现有的标准就是 [...]

还记得去年提到过的爱沙尼亚吗，他们将 OpenID 服务关联到公民身份证中，率先提供了一种使用硬体认证的 OpenID 。现在，不用后悔自己没有生在爱沙尼亚了（即使不为了 OpenID ，那里几乎 100% 的网络覆盖率也值得你重新投一次胎）， TrustBearer 实验室最近刚发布了他们自己的 OpenID 服务，集成 TrustBearer Access 套件。 TrustBearer 实验室在安全认证领域有超过 10 年的软件开发经验。这次他们推出的 OpenID 体系十分类似爱沙尼亚的 eID ，通过在认证环节中插入硬体验证来提供强化安全的 OpenID 。更重要的是，由于兼容了现有的认证设备标准，他们的 OpenID 支持超出想象数量的外设种类。从智能门禁卡、 USB key 到指纹，理论上说，所有基于 CCID 的智能卡阅读器、 PIP 卡、 CAC 卡、 Java 卡都可以使用，光是这份已经过完全测试的支持列表就足以令人眩目了： Device Provider Photo OS Support TrustBearer Security Key Smart Cards CAC (Common Access Card) various providers PIV (Personal Identity Verification) various providers JCOP, personal smart card Cosmo 64RSA, personal smart [...]

让我们继续认识 XRDS 中的各种元素以及它们能做的事情。 就像前面所说的， XRDS 包含一些称为 Service End Point 的节，它们用来描述服务，包括服务的类型、标识符等，以便应用端去发现和利用，即 discovery 。最初 Yadis 将这个概念带给 OpenID 和 LID ，因为它们都是一种以 URL 为标识的认证机制。从这种 URL 中解析出 XRDS ，那么我们不仅可以使用 OpenID 、 LID ，还可以加入任何其他有用的东西： SAML 、 XDI 、 Feed 、 SIP ……当然所谓“有用”，是得有能利用 XRDS 的应用服务，目前并不多，后面我们可以一一看到。 从协议上来看，所有这些都是可以实现的，无论 URL 还是 i-name 。你已经有了一个附有 XRDS 的 URL ，但 i-name 可以实验的内容更多，因此不要吝惜你的时间，去 FreeXRI 注册一个免费的 i-name 。 那么一个 i-name 的 XRDS 在哪？在 [...]

继续之前，插播一条消息。 对于不想自己动手的朋友，如果你们需要的只是前面提到的多 OpenID 委派，并且你在你的 URL 上运行着 Wordpress ，有一个插件可以比较轻松的自动生成 XRDS 文档： WP-Yadis 。 http://wordpress.org/extend/plugins/yadis/ 它将一个 <meta> 插入到页面的 <head> 中，同时将 XRDS 文档存为 Wordpress 根目录中的“ xrds ”。在有更新的版本前，这个插件基本上只能编辑 XRDS 中的 OpenID 服务，并且不会自动帮你集成多个 OpenID 版本。这个方法虽然很偷懒，但也是有效的，而随着插件的升级，新的功能一定会被引入，但是无论如何，自己动手吧， XRDS 实在是很简单的。 将 WP-Yadis 和 WP-OpenID 插件同时武装进你的 Wordpress ，你的博客就可以自称是 OpenID Enabled 了。

昨天，我们建立起了一份简单的 XRDS 文档，并利用位于 <head> 中的 <meta> 元素将其植入我们的 Yadis URL 。正常情况下， Yadis URL 应该返回 HTTP 头中所声明的 application/xrds+xml 格式的 XRDS ；但协议同时提到，如果 HTTP 头没有指出位置，而 URL 返回了一个 HTML 文档，那么可以解析 HTML 从中提取 <meta> ，并将 XRDS 返回。这使我们可以十分轻松的在 URL 上实现 Yadis 支持。 XRDS 文档，又称为 Yadis 资源描述文档。它使用 Extensible Resource Descriptor 格式，这一格式由 XRI Technical Committee 开发，并包含进 XRI 解析规范中。 <xrds:XRDS xmlns:xrds="xri://$xrds" [...]

还记得 IDSelf 中断更新前，本来想介绍一下 XRDS，于是有了获得一个 i-name 的文章。当时，只有 i-name 才可以对自己的 XRDS 文档进行编辑。当然你也可以用库里的程序在自己的 URL 上架设服务器，或者用一点小技巧。更容易的，我们使用这样一个标签： <meta http-equiv=“X-XRDS-Location” content=“http://yourname.com/xrds.xml” /> 这么做是为了让你的 URL 支持 Yadis 发现。 XRDS 文档也可以称为 Yadis 文档。这个文档以 XML 格式存储，因此首先是一行对文件类型的描述： <?xml version=”1.0″ encoding=”UTF-8″?> 接下来我们在根元素中定义名称空间，类似这样： <xrds:XRDS xmlns:xrds=“xri://$xrds” xmlns:openid=“http://openid.net/xmlns/1.0″ xmlns=“xri://$xrd*($v*2.0)”> <XRD> 最后以此结尾： </XRD> </xrds:XRDS> 位于 XRDS 中间的部分，是对各种服务的描述，也是 Yadis 的意义所在，你首先拥有的最有可能是对 OpenID 的定义： <Service priority="0"> <Type>http://openid.net/signon/1.0</Type> <URI>http://www.myopenid.com/server</URI> [...]

基本上，你已经知道 Yahoo! 开始提供 OpenID 服务（尽管他们的地址不怎么好记）， Microsoft 在一年前的 RSA 安全会议上也曾经承诺整合 Cardspace 和 OpenID （尽管什么动作都没有看到）， Google 则在他们的 Blogger 中小心翼翼的支持 OpenID 评论（尽管使用的是 1.0 使得 Yahoo 帐号无法登录），你是否和我一样以为这些行业巨头们态度一点也不认真呢？直到今天晚些时候，一则新闻才打破我们的疑问。 OpenID 基金会宣布了 5 个新的董事会成员，他们分别是 Google 、 IBM 、 Microsoft 、 VeriSign 和 Yahoo! 。 这或许将成为今年 OpenID 社区中最重大的事件，这些巨人们从来没有像今天一样一起行动过。这 5 家以公司名义加入董事会的成员，各自派遣了一名代表参与协助基金会的日常工作，他们分别是： Dewitt Clinton 来自 Google Tony Nadalin 来自 IBM Michael B. Jones 来自 Microsoft Gary Krall 来自 VeriSign Shreyas Doshi [...]

在参加完 SG FooCamp ‘08 后， OpenID 基金会主席 Scott Kveton 马不停蹄的加盟了 Vidoop ，任副总裁负责开放式平台部门，以及其位于波特兰新办事处的主管。 Kveton 在开源界是个人物。除了基金会主席，他还是 JanRain 的 CEO 以及 Open Source Lab 的创始人，前者旗下有着 MyOpenID 、 Jyte 等强悍产品，后者则支援着一大批开源项目的开发，如著名的 Firefox 。 而 Vidoop 来者也不善。他由一群前美国海军破译工程师组建，并且持有一笔长期的固定投资。他们的 OpenID 服务称为 myVidoop 。或许你听说过但没有关注过， myVidoop 在安全性方面有着自己十分有趣的解决方案。在注册过程中， myVidoop 会要求你从一些随机图片中至少选出三个来，每张图片代表某个类别，如“空间”、“电脑”、“宠物”等。当再次登录的时候， myVidoop 再次从图片库中随机提取一系列来，这些图片不一定同于注册的时候所出现的，但肯定含有能代表同一种类的图片；这个时候，只有用户才能正确选出对应的图片。这种机制被称为 Captcha ，与被广泛应用于各种网站注册流程中的 Captcha 虽然不太一样，但都是通过语义信息来防止机器人攻击。 myVidoop 十分聪明，他们在图片所代表的不同领域寻找合作商，并将广告图片注入图片库中，如果你注册的时候选择过“电脑”这个类别，不要奇怪将来登录中会时不时的出现 Lenovo 、 HP 的标志。 震惊吗？当你仍然在 OpenID 的 QQ 群中看到大量对于 OpenID 盈利模式的质疑的时候，已经有人不动声色的在做了。你或许会不屑一顾，这个模式看似并没有 [...]

作为极富创意的 Janrain 公司的产品之一、最早的 OpenID 服务提供商， MyOpenID 一直以来都保持着较高的活跃度。世界上绝大多数主动注册的 OpenID 帐号都直接或间接的托管于 MyOpenID 。尽管 OpenID 是一种“分布式的“认证框架，但我们仍然习惯于信任某个大众化系统；那么一旦这个受信系统崩溃会怎样呢？ 今晨 5 点左右， MyOpenID 经历了一次一个小时左右的网络维护，期间 MyOpenID 网站离线，所有 MyOpenID 帐户均无法使用以登录其他网站。让我们用刘韧体来思考一下这个没有 MyOpenID 世界的前前后后： 1. OpenID 以分布式为其首要特点，在彻底理解分布式之前，我们面临一个更大问题，由于在认证框架中多了一方，服务离线的几率变的更大了。 2. 如果仅仅是 OpenID 服务器宕机，我们仍然可以在应用网站上临时注册帐号来使用，既然这样，干嘛不直接注册帐号还要 OpenID ？ 3. 为了避免某个 OpenID 服务器宕机而引起问题，我们在多个 OpenID 服务提供商处注册帐号；这么做首先需要应用网站支持绑定多个 OpenID（事实上，这样网站不多），其次我们又回到需要管理繁多帐号的境地。 4. 进一步，我们注册一个域名，用委派的方法将域名作为 OpenID 帐户，当某个 OpenID 服务器挂掉，我们可以迅速的改变委派来保证 OpenID 的正常使用。 5. 于是我们变得更加保守了么？不，只要 OpenID 存在，第三方就存在，服务离线的几率仍然没有减少，想象一下主机空间宕机了。自架服务器在一定程度上是完美的，但没有人会这么做。 6. 采用委派带来的更为严重的是所谓的 OpenID 循环问题， OpenID 认证过程是通过用户对 URL 所有权的证明来实现的，如果你失去一个作为 OpenID [...]

今天 Yahoo! 在他们的开发者日志上正式宣布其 OpenID 提供商服务开始公开测试，两亿四千八百万的 Yahoo! 用户，拥有了直接登录任何支持 OpenID 2.0 标准网站的能力。 紧随 AOL 、法国电信以及 Google （至少是 Blogger ）后， Yahoo! 作为业界超级玩家加入 OpenID 阵营，使得 OpenID 用户在三年多后终于艰难的达到了四亿，尽管这里面绝大多数都不是主动者。 在这篇日志中， Yahoo! 强调了几点关键特性： 1. 可用性： 得益于 OpenID 社区成员们对于加强用户体验所作的努力，在 2.0 中，用户不必输入令人费解的 OpenID URL 完整形式（如果你读过 2.0 ，会发现它确实是费解的），只需使用服务器地址即 yahoo.com 登录，支持 2.0 的应用站点会理解并将用户带到 Yahoo! 的登录界面中完成认证。这项改进看似十分软，但对于一直以来以“推广”为最大难题的 OpenID 来说，很有可能是具有转折意义的硬朗特性。 2. 用户培训： Yahoo! 不遗余力的进行 OpenID 推广，从更狭隘的意义上来说，更类似一种信徒行为。所有 OpenID 或者任何一种不够大众的技术社区的参与者，无不在其所能影响的范围里，企图制造更多的影响。当然，这一切都是值得的。 3. 反钓鱼：被 Yahoo! 称为登录印章的服务，类似 MyOpenID 的安全头像，利用浏览器 [...]

希望这次 Zooomr 不要保持跳票传统，根据 Zooomr 信息中心公布的最新进展，数据服务器已经完成在东京的转移，绝大部分功能已经恢复正常了，最后的上传也将在近一两天内重新上线。 关于这次代号为 Mark IV 的发布的具体信息还不是很多，一个所谓的重要更新是版权系统。版权标签将可以作为搜索项，例如，如果你想寻找符合 CC 的美女图片，直接搜索就得了。

上周，有传闻Google将加入OpenID 2.0数字认证框架支持。但是，得到证实的却是雅虎将其二亿五千万用户加入OpenID。先前，只有一亿二千万有效OpenID 用户。Yahoo的加入，使OpenID数目增长了二倍。 雅虎表示，该服务将于1月30日进行公开测试，用户使用Yahoo ID将能够登陆超过9000家支持OpenID的网站。雅虎还宣布，届时Plaxo和JanRain将能够通过Yahoo ID登录。雅虎将整合其Sign-In Seal功能，意味着用户可以通过加载图片的方式来验证网站，这种方式被广泛应用于金融机构，以减少钓鱼威胁。 雅虎的相关部门经理Raj Patel 在电话访问中表示，“这只是我们面向OpenID的第一步。”但是他没有透露雅虎是否会进一步加入“relying party”，这将允许用户通过第三方的OpenID登录雅虎。他表示支持OpenID 是雅虎的方向，但没有进一步透露细节。 转载自：http://publish.it168.com/2008/0118/20080118039501.shtml

一篇好的OpenID总结性文章——OpenID使用手册 英文原文链接：Using OpenID

这是我们组花了时间翻译的协议,在这里: openid_spec_cn_v05.doc

花了些时间，写了一个OpenID Consumer客户端的例子，同时也发现了一些Joid的bug也一并修改了。 在这里奉献给读者： 一个简单的JSP例子 这是一个zip包，将它改名为war包，放在Tomcat的webapps目录下，就可以发布使用了，本站也安装了这个程序，可以到：点这里看看演示,test.ttgid.com 密码请输入abc 上面的这个包中不含java部分源代码，感兴趣的可以下载：Java源码 这个代码是在Joid基础上修改而成的。

本例主要使用Janrain, Inc.提供的OpenID consumer and server library和其开发的简单Consumer实例，并对其作了少许修改完善的工作。实例包可于openid.zip下载。 安装使用： 下载后解压到你的apache web文档目录下即可，浏览器中键入http://localhost/openid/consumer/，本例要求输入你的OpenID URL，并返回一些提示信息，如成功与否及成功后返回的响应。你可以查看本网站http://www.ttgid.com/openid/consumer/，了解其效果。 对于使用JanRain OpenID Library构建OpenID Consumer，一般有如下步骤： 主要分为两个部分，前半部分是Consumer发送请求，定向到Provider，后半部分为Provider提供响应并返回Consumer 前半部分 1.提供输入OpenID URL的地方，并且规范化URL； 2.初始化Auth_OpenID_Consumer 类，指定存储方式（Auth_OpenID_FileStore或SQL-based stores的一种）； 3.调用Auth_OpenID_Consumer对象的’begin’方法，以OpenID URL为参数，返回一个Auth_OpenID_AuthRequest对象； 4.调用Auth_OpenID_AuthRequest的’redirectURL’ 方法，该方法应该以return_to url,trust_root为参数 后半部分，Provider返回信息后 1.浏览器返回到return_to url，这个url要包含Provider提供的一些参数 2.初始化Auth_OpenID_Consumer类，调用complete方法，解析传回的参数

企业在实施身份管理技术的时候往往会面临很多挑战。例如，一家公司可能会根据个人编号、明确的姓名或电子邮件地址来识别其员工。然而，只是识别这些标识符的类型就是一个相当困难的事情，有时根本是不可能的，而且要想为它们提供支持还需要高昂成本。  结构化数据标准促进组织（OASIS）开发了一种统一的标识符方案，可帮助企业解决今天越来越棘手的身份管理互用性问题。可扩展资源标识符（XRI）规范建立了一种互操作的框架，可以实现标识符的表达和解析，并且在标识符与任何资源类型之间建立对应关系，其中包括个人、应用、网络设备和企业资产等资源类型。  XRI建立于无处不在的统一资源标识符（URI）和国际化资源标识符（IRI）标准之上。XRI已经广泛应用于各种身份管理解决方案中。针对类型、语言和日期等特性的表达，XRI定义了一系列标准的方法。基于轻型HTTP和XML的XRI解析框架使请求能够迅速、方便地发现这些资源的元数据，例如，可更好地应用在本地身份管理系统中。          元数据不仅限于选择性的识别符。我们可以设想，一个XRI识别出的资源是一套技术手册，以PDF或Word文档的形式出现，并且可通过多种协议在各种镜像网络位置中检索出来。从广义上来说，无论该手册在任何位置，如何检索或以什么格式呈现，它都是同一个文档。XRI是在抽象层识别资源的理想方式，因为解析过程使请求能够根据需要在可用的选项中选择最佳的网络位置、恢复方式和文件格式。  和URI一样，XRI也包含权限部分和路径部分。XRI解析可将一个XRI的权限部分和路径部分转换成一份称为XRIDescriptor的XML文档。XRIDescriptor用于描述已经识别的资源和该资源数据表现形式的检索方式。通过提供为一个资源的实际范例提供一个额外的层次， XRI可提供永久性的、牢不可破的参考，并依靠它来建立一种稳定的商业关系。  为了使XRI技术得到广泛的采用， OpenXRI.org提供了一个免费的、可再发布的开放源代码工具集。该工具集可以集成到企业、ISP或软件厂商的架构中。工具集中包含客户端解析程序和高性能解析服务器。  OpenXRI.org将负责该工具集的发布和维护，帮助企业在尽量不对其内部系统构成影响的情况下解决互用性问题。通过为所有类型的识别符提供一种通用的表达、解析和映射框架， XRI使企业能够提前验证其在身份管理解决方案中的投资，同时还可以尽可能地利用其现有的基础设施。 OpenXRI.org规定该工具集以Apache 2.0授权的方式发布。OpenXRI.org希望这种平民化的、可再授权的客户端和服务器软件能够促进政府和企业市场中的各类机构了解XRI在解决身份互用性问题方面的优势。

这篇不是原创,主要内容摘自http://yangming.info/wordpress/2007/04/21/%e9%80%9a%e8%a1%8c%e8%af%81%e7%bb%ad%e4%ba%8c/ 在强调身份管理的环境下，标识问题成为矛盾焦点。例如，一家公司可能会根据个人编号、姓名或电子邮件地址来识别其员工。然而，识别这些标识符的类型是一个相当困难的事情，有时根本是不可能的，而且要想为它们提供支持还需要高昂成本。显然，我们需要的是一种将标识和资源的对应关系建立起来的机制。 XRI OASIS在2004年早些时候提出了XRI（eXtensible Resource Identifier），可扩展资源标识符。可扩展资源标识符规范建立了一种互操作的框架，来实现标识符的表达和解析，并且在标识符与任何资源类型之间建立对应关系，包括但不限于个人、应用、网络设备和企业资产等资源类型。XRI建立于URI和IRI标准之上。XRI针对类型、语言和日期等特性的表达，定义了一系列标准的方法。基于轻型HTTP和XML的XRI解析框架使请求能够迅速、方便地发现这些资源的元数据。 i-name 让我们来看看XRI应用的具体例子。Drummond——就是我在上篇中提到的那位，是OASIS的核心成员之一。他的其中一个i-name是=drummond。如果你使用的是带FoXRI插件的FF，在地址栏输入=drummond，那么你将接下来看到： xri://=drummond 类似于URI，这是一个完整形式的XRI。xri://告诉我们这个资源标识的类型是XRI。而实际上，XRI本身就已经通过开头的字符（=、@、+、!等）告诉我们这是个怎样的资源，所以xri://是不需要的。这里我们已经看到了真正的XRI，那个以等号开头的字符串，一个有效的XRI。 在呈现出的页面上，我们可以看到这个标识提供了那些资源，有OpenID、contact page、forwarding，甚至还有Skype。接下来： http://xri.net/=drummond 这是一个在目前所有浏览器下都工作的连接。xri.net代理会解析这个XRI，查询XRDS文档，一般情况下，把你带到contact page： http://2idi.com/contact/=drummond 我们看到了Drummond的自我介绍，和一个可以用来发送消息的区域。contact page是i-name的一个重要功能，它可以让你向全世界公开你的联系方式，却不会被垃圾邮件所困扰。i-name的第二个功能是单点登录，2.0版本的OpenID标准将XRI包含了进去，你可以用你的i-name登录任何支持OpenID的网站。 为什么i-name contact page的概念或许并没有那么激动人心，那么OpenID呢？如果你是一个OpenID的支持者，那么你一定有好几个来自不同IDP的OpenID，至少你该有一个MyOpenID的，你可以用他们横行所有支援OpenID的网站，自定义你的个人注册信息，管理受信任的站点，这些IDP全部都是免费的。 而i-name竟然是付费的。这意味着，你必须购买一个i-name来作为OpenID使用。个人i-name每年需要20美刀，组织的则要50刀。一定有个傻逼以为大家都会去买i-name来当OpenID用，可是所有的IDP都提供完全相同的OpenID功能，一分钱也不要。 那么人们到底为什么需要i-name呢？为了搞清楚这个问题，我于是买了一个i-name。不同于域名注册的火热，i-name注册商——我们称之为i-broker——少之又少，而且相关的文档评论几乎没有。我最后选择了2idi，原因是主要的i-name鼓吹者都是从那买的，比如Drummond。我的i-name是=my。 登录2idi后，首先在服务列表中找到contact page，简单的设置了一下，激活我的contact page http://xri.net/=my 然后是SSO，就是OpenID，发现里面除了服务介绍别的一概没有。从Jyte登录试了一下，Jyte在寻找信任的时候跳转到了2idi，登录2idi，转回Jyte，一切正常。相比而言，MyOpenID就要强大的多了，他们可以让你轻松的管理你的标识和信任，调节安全系数。在这点上，2idi或许正在观望和试探性的开发，希望如此。按道理，XRI本身应该可以选择不同的资源，xri://=my中关于OpenID的一节 Type: http://openid.net/signon/1.0 URI(s): http://2idi.com/openid/ https://2idi.com/openid/ 这是指向2idi的，应该可以改为所希望的IDP，但我没有找到在哪改，又或者有别的方法？ 除了contact page和OpenID，i-name目前第三个主要的应用是forwarding。类似于URL forwading，在XRI中，我们可以定义子键，让任何对子键的访问自动转向我们希望的地址，子键以“+”开头。如访问 =my/+blog 或 http://xri.net/=my/(+blog) 将转到我的博客，而 =my/+photos 或 http://xri.net/=my/(+photos) 则是我的Flickr相册。 到底为什么 和domain name解析出的ip类似的，i-name背后也有个数字化标识，称作i-number。在后台，服务其实是以识别i-number作为基础的。i-name是可以变化的而i-number则相对固定。可以这么理解ip与某个地理位置关联，而i-number与某个人关联。当我们以i-name去访问各种服务的时候，计算机记录的是我们的i-number，我们可以失去i-name、更换i-name甚至注册多个i-name，但由于i-number的固定性，我们不会丢失属于自己的各种服务。这是一个非常重要的特性，很好的解决了身份识别标识稳定性的问题，否则我们仍然逃脱不了注册一大堆帐号的命运。 同时，尽管i-name是可变的，但相对普通的网络帐号来说，仍然具备很强的稳固性。例如，我的i-name是=my，当我在风驰霓达上班的时候，你可以通过=my@fons-nitta与我进行联络——这里@fons-nitta也是i-name，就是我们上面说到的属于组织的50刀每年的标识，当我不幸被Google挖走的时候，我马上就拥有了=my@google，不需注册，没有繁琐的变更流程。 当我成家后，我的妻子除了她自己的i-name，你还可以从=my*wife看到相关联的信息。在那个时候没有计划生育了，于是我们生了两个=my*son，一个=my*son*foo，一个=my*son*bar（啊，我承认这名字起的不怎么样），同时，他们也拥有=foo和=bar，以及@RedStarSeniorSchool*foo和@RedStarSeniorSchool*bar。在这背后，所有的i-number都是固定的、唯一的、有涵义的，资源被合理而恰当的整合起来。 未来 比起我们所涉及到的这一点内容，XRI有着自己严密的规范，更多开发中的应用。有一天，或许我们就可以把自己的i-name（或者别的某种标识）印在名片上，其他人一看到，就心知肚明，知道如何去使用它。在那个时候，这种个人记号是通用的、易读的、富含信息的，并且公开的、免费的。 中国虽然不喜欢从技术底层对一种新应用进行开发完善，但确实有些实用主义的东西在慢慢成长。比如上次我们说到的身份通，其企图将个人辨识贯穿于整个社会体系中的想法，是相当勇敢和有创建性的。而在一些城市，诸如市民卡这样的区域性通行证也在逐渐推广中。杭州市民卡集个人信息、医疗保险、消费信贷、交通体系、公园娱乐等于一体，到能完全实现的那一天，一定会很有趣，很值得期待。

在openid provider与consumer交互时遇到这样一个问题，当用户nickname是中文时，返回值即consumer页面 显示乱码，针对该问题作如下几个方面的排查： 1.provider提供url中参数，这些参数的编码最好是utf-8，而apache也不会像tomcat一样，将get方法得到的 参数默认iso-8859-1编码，这一步编码没有问题. 2.数据库编码 在mysql中有几个编码分别是 server collation client connection，可以通过修改my.cnf(my.ini,视版本而 定)设置，这几个设置最好都是utf8，保证从数据库中取出的字符为utf-8编码. 关于mysql编码问题，参考以下文档 http://imysql.cn/?q=node/20 http://hi.baidu.com/ly6cyh/blog/item/fa0d8d355893791390ef39a4.html 3.程序取数据 存入DB的openid nickname是utf8，而phpbb中文页面显示的编码是gb2312，所以要用mb_convert_encoding方 法转一次码才能正常显示，当然应该也可以设置页面编码为utf-8，同时存储文件时候选择格式为utf-8(如不 选择安装操作系统默认格式存储)，由于phpbb页面数众，这里没有尝试这种方式. 程序转码请参考 http://www.uuzone.com/blog/uu_1082269/108011.htm

1: User submits Identity URL 1：用户提交身份地址 The consumer uses a form with GET or POST to allow the user to enter their OpenID url. 应用服务器通过GET或者POST方法获得用户提交他们的OpenId地址(身份地址) 2: Consumer fetches Identity URL 2:应用服务器取得身份验证服务器 The consumer parses the HTML content and looks for a tag: 应用服务器解吸用户提交的地址的数据中的HTML标签:（其中the server 就是身份验证服务器） 3: Consumer associates with server (option 1) 3:应用服务器与身份验证服务器交互（选项1） In order to communicate securely with the server, the consumer gets an [...]

问题的现象,用我们提供的OpenID: http://www.ttgid.com/IdPages/test 登录http://www.loopo.cn/login?from=/ 遇到问题，不能进入本站的登录页面就报错: ERROR:Cannot find OpenID Server TAG on Identity page. 但使用http://test.ttgid.com/ 作为OpenID登录却可以进入本站的登录页面,但在返回时(URL为http://www.loopo.cn/plugins/openid/openid.php?openid.signed=assoc……)报同样的错:ERROR:Cannot find OpenID Server TAG on Identity page. 猜测一:我们在测试前曾有过失败的经历,是不是loopo的服务器将这些错误缓存了. 猜测二:难道是我们用了服务端的重定向会影响consumer服务器的判断?这种可能性应该不大 经过艰苦的跟踪，终于找到了问题的原因，是与猜测二相关的 当我用http://www.ttgid.com/IdPages/test作为ID登录loopo.cn时，服务端自动在我提供的URL地址后面加了一个”/”字符，我这边的服务器就将这个解释成一个路径而不是文件，这样重定向时就会发生错误。详细说一下，我们的IDPage中写的是 <link rel=”openid.server” href=”http://www.ttgid.com/OpenId/login” /> Loopo访问的是http://www.ttgid.com/OpenId/login/,注意最后加了一个字符。服务器在作检查之后要转向登录页面应该是http://www.ttgid.com/OpenId/login.jsp  而这里服务器错误地将它解释为http://www.ttgid.com/OpenId/login/login.jsp  当然就出错了。 知道原因了，问题就好解决了。将末尾带“/”字符的作一下特殊处理就行了！ 只是这个问题曾经困惑了我很久！我猜，还有一个Openid Provider网站signon.com与Loopo配合不起来也可能是同样的原因。

随着 Web 2.0 的深入发展，新的认证体系也逐个浮出水面，这其中除了我们经常提起的 OpenID ，还有来自自由联盟的 SAML ，以及微软在 Vista 中带来的 CardSpace 系统。多种体系并存所导致的是人力的浪费和社区的分裂，也会使终端用户左右为难，历史上 Unix 的发展是一个典型案例。现在，人们经常会在早期就开始考虑兼容并通的问题，而自由联盟的 Concordia 计划就是因此而产生的。 事实上，自由联盟最初是为了反微软的 .NET Passport 而建立，尽管事情在慢慢发生变化，但自由联盟一直以来对 Passport 的冷淡态度也使得微软无心加入这个大家庭。但历史的潮流是不可阻挡的，打着 Identity 2.0 标签的 CardSpace 没有理由再拒绝社区的合作项目，因此他们同意参加本月底即将在旧金山召开的 Concordia 大会。微软 CardSpace 小组的 Mike Jones 将出席会议，他将和同行们一起听取来自 AOL 、 Boeing 、 General Motors 等厂商的成功经验，并讨论如何运用到各自的项目上。 在年初，微软曾宣布将支持 OpenID ，其时业内欢呼一片，而现在他们的合作进一步在加强。自由联盟的主席 Sullivan 表示，微软加入 Concordia 显示了他们对于该项目的信任和信心， Concordia 不会对任何组织实行强制性举措，并将一如既往的站在公开、公平的立场上，以独立论坛的身份帮助社区的积极发展。

OpenID 虽然是个比较新的概念，但对于域名投资者来说，这种简单易记的词组，早早就会放在桌头。稍微了解过 OpenID 的朋友一定知道他们的主站点位于 openid.net ，之前一段时间 openid.org 也指向 openid.net ，但 openid.com 和 openid.org 都不在 OpenID 基金会手上，并且对于 OpenID 这样的项目， .com 和 .org 的重要性更大。因此， OpenID 社区的主要成员们，一直和另外两个域名，尤其是 openid.org 的所有者进行交涉，希望拿回域名所有权，有必要的话也会支付一定的转让费。在刚刚结束的 IIW 2007 上，拿回域名这件事也作为一项 Todo 被重点提出过。 openid.org 和 openid.com 虽名花有主，但一直处于闲置状态，连停靠都没有。但就在大约一周前， Jyte 上出现了 http://steven.openid.org 的用户。马上点进 openid.org ，发现他们已经作为一家 OpenID Provider 上线了，网站非常崭新，其时首页显示大约仅有 10+ 个注册 ID ， Steven 实际上是这个域名的所有者和网站创始人。 OpenID.org 的上线在社区中引起了一点小小的波澜。 因为 OpenID 基金会一直在联络 openid.org [...]

在最近的各种线上评选中， OpenID 除了摘得 2007 Next Web 大奖，还进入了 Webware 百强提名。 这一奖项由网民自由投票，从 10 大类共 250 个网站和应用中评选 100 名最终得主。 Webware 的分类很奇特， OpenID 位于 Browsing 类，与 Firefox 、 IE7 、 Google Reader 等同场竞技。估计绝大多数的选票都将投向 Firefox ，剩下的 9 个就看各个产品的粉丝数量了，因此 OpenID 最终能否入围百强，是很不容乐观的。当然，评奖只是一种大众偏爱的娱乐形式，结果如何，都不会影响各种优秀的应用在各自领域发挥所长。 OpenID 能进决赛，说明它已经受到越来越多的关注了，我们期待 OpenID 一路走来能茁壮成长。 今天是 Webware 百强投票的最后一天， 11 号票选将关闭，结果统计出来后将在 18 号公布。既然您来看 IDself 了，难道不投 OpenID 一票？

最近几天都没有更新了，一来每天晚上在上课，二来下课回到家得照顾小狗，喂食、洗澡、陪它玩……我第一次养小狗，所以每天都是手忙脚乱的。这只小狗是同事收养的，然后转送给我，因此没有名字。开始我给它起名 OpenID 希望它随着 OpenID 一起成长；不过这名字实在是难叫，前段时间不是还有一个给 OpenID 起中文名的活动吗，可见人都觉得这个单词听起来麻烦，况狗呼。于是取头尾，就叫 OD ，中文念“欧弟”，当然此“欧弟”是不会模仿张学友的。 我听取了天真的建议，把 Habari 换掉，重新用上熟悉的 WordPress 。当时用 Habari 纯粹是因为想尝试一下用一个新系统写博。这个程序非常简洁，如果不考虑定制，几天用来就基本可以把它翻烂，所以差不多好换掉了。另外确实将来升级可能会有很多麻烦。第三 Habari 没有现成的 OpenID 支持，得自己写代码，而 WordPress 上插件则可以很方便的实现此功能，写 OpenID 的网站不支持 OpenID 就有点说不过去了。所以趁早期换回来，由于后台更换， feed 变了，如果有订阅过本站的朋友，请更新阅读器。这次俗套一点，新地址使用 feedburner ，您可以直接订阅 idself.cn ，会自动转向。 这里告诉大家我还活着，虽然 OD 把我搞的焦头烂额，但我会尽快重新开始更新 IDself 。

在 6 月 1 日荷兰阿姆斯特丹的 Tuschinski 剧院，新一界的 The Next Web Conference 圆满闭幕。会议上，来自 Zyb.com 的志愿主持人 Tommy Ahlers 颁布了 2007 Next Web 大奖。该奖项共分 8 个大类，在对 55000 多份票选进行统计后得出。 OpenID 最终在 Disruptors 类中拔得头畴。对于 Disruptors 这个词的理解，我稍微有点困惑。它字面的意思是干扰物、分裂或瓦解。在这里，我个人推测 Disruptors 可以理解为杂类，或者重量级应用类；这两种译法相去甚远，不知哪位达人可以指点一二。 和 OpenID 同在 Disruptors 中竞争的还有： Joost Netvibes Zopa Sellaband Zecco Edgeio Turn A Swarm of Angels Pixenate - The online Photo Editor 37 Signals 对这些名字有些我们耳熟能详，有些则很陌生，但他们都是过去一段时间以来非常引人注目的网站；因此允许我暂且把 [...]

相信你从三部曲中对 i-name 及 XRDS 有了一点点的了解，当然我自己的理解也是非常狭隘的，所以不能保证把问题完全说清楚了。 那让我们一起继续深究下去。为了在后面方便进行一些 XRDS 入门试验，我们得获取一个 i-name 。尽管根据 OpenID 2.0 ， URL 形式的 OpenID 也可以解析出一个 XRDS 文档，但目前几乎所有的 OpenID Provider 都不提供让你修改 XRDS 的功能，因此为了能快速开始，取得一个可以自由编辑 XRDS 的 i-name 还是很有必要的。 不幸的是，你已经从三部曲中知道了 i-name 十分昂贵。一个个人的、以“=”开头的 i-name 一年需要 20 美元。排除去年推广期的 50 年买断外， 20 美元是目前的全球统一价。我是从 2idi 购买的，它是早期的一个权威 i-name 注册商，我个人推测有超过一半的 i-name 都在他们帐下。如果你舍得这笔钱，那么就选 2idi 。 接下来，一个更便宜的地方是 LinkSafe 。 LinkSafe 以最早在社区中提供免费 i-name 而闻名。尽管他们不再提供了，但从今年 6 月 1 号开始，他们的个人顶级 [...]

这是我在刚深入接触 OpenID 的时候所做的笔记，很多想法和理解都很不成熟。原发于个人博客，连接过来 通行证 通行证续一 通行证续二 在后半段，我涉及到了 i-name 、 XRDS 以及 XRDS 的一点小把戏，稍候我们会来稍微多认识一下 XRDS ，这是 OpenID 2.0 所包含的一个重要特性；不过首先，如果你还完全不知道 i-name ，读一下三部曲。

这条内容和 OpenID 没有太大关系，但和昨天提到的爱沙尼亚有关系，并且可能在将来和每个人都有关系。 不久之前，爱沙尼亚经历了一次持续达三个周的严重网络入侵。入侵主要来自俄国，原因是爱沙尼亚移走了位于塔林的苏联士兵纪念碑，致使俄国不满；事实上，两国从苏联解体后就一直关系不好。这次入侵迫使爱沙尼亚关闭了大量的政府、媒体、银行等网站，并引起了西方国家的高度重视，北约紧急介入调查。 在上篇文章中我们说道，爱沙尼亚是一个高度信息化的小国，对电脑的依赖使得他们更容易受到电子入侵，更容易从入侵中受到损失。这次入侵者采用了著名的 DDoS 冲击波， 爱沙尼亚的信息专家侦测发现入侵虽来自世界各地，但其中大量来自俄国。事实上 DDoS 入侵并不是那么容易追踪的，即使有足够的设备工具来调查，也不能草率定性为俄国入侵；如果他们真的想搞破坏的话，后果会严重的多。 无独有偶，最近西方有报告指出中国正在全面拓展电子战的实施和训练，中国人民解放军近年来一直致力于将自己的部队由数量密集型转型为尖端科技型。报告显示亚洲各国对于中国的这一动向十分关切，而西方国家对此则直接表示不满，他们说美国人虽然本来为了军事发明互联网，但为人类造福向全世界公开了它，现在你们却要用它来当作战争的武器。中国方面认为这是国家的内部事务，对于外国插手干预也表示非常不满，说起来火药还是我们发明的呢，你们丫有种别用。 其实政治问题就是利益问题，根本扯不清对与错。对于全人类来说，谁对谁错没有关系，重要的是，我们不需要互相残杀，我们不要战争。俄罗斯在上次世界大战中没少死人，历史已经给了我们足够多的教训，以人类的智慧，我们不要更多了。什么时候各个国家可以放下面子，放下包袱，放下仇恨，放下利益，把人类发展放在第一位，专心创造能为全世界人民造福的科学技术比如 OpenID ，而不是把钱和精力投进战争中，去搞一些所谓能保持国际格局平衡的狗屁武器——不管是机械的还是电子的——要知道，你这一入侵，人家又得开始大量投入研究反电子战，于是，你得反反电子战，人家反反反电子战……这种无止境的循环，有意思吗？ 显然，爱沙尼亚将不得不开始更多的投入考虑反电子战问题，而不是 OpenID 的隐私安全问题。

不久之前，爱沙尼亚将他们的电子身份证加入了 OpenID 支持；正如 AOL 集成 OpenID 进帐号，以及 Sun 给员工提供 OpenID 一样，社区中正在发生着一些有趣的事情，让我们看到 OpenID 越来越广阔的应用前景。 爱沙尼亚是欧洲的一个小国，长住人口大约在 137 万。这种背景很适合进行各种应用的全范围推广，例如他们的互联网接入达到令人惊异的 99% 覆盖率，他们最早开始实施身份证电子化并且已发展的十分完备。如今在爱沙尼亚，有超过 100 万本地及外来人口拥有这种被称作 eID 的电子身份证， eID 卡可以用于邮件、医疗、税务、公交、投票等各种事务中，类似但远远强于中国某些城市正试行推广的市民卡。在这里我们可以详尽了解 eID 的来龙去脉。 现在 eID 又多了一个功能： OpenID 。 Martin Paljak 于最近建立 open.id.ee 网站，将 OpenID 支援进 eID 框架， 100 万的 eID 持有者无须注册，瞬间拥有了 open.id.ee/[firstname].[lastname](.number) 格式的 OpenID 通行证，例如 Martin 的 OpenID 是 open.id.ee/martin.paljak。 由于和代表真实身份证的 eID 相结合， open.id.ee [...]

对于 Zooomr 此次的升级， Kristopher 和 Tom 显然估计不足；一般网站的升级都是在后台隐式完成，所以当 Zooomr 宣布要停止页面服务 12－24 个小时来进行升级的时候，我们已经觉得很不耐烦了，而现在已经过去了近 200 个小时，我们还是不能看到新的 Mark III。 对于这个二人团队来说，我们不能要求太多；他们需要吃饭、睡觉、撒尿、哄老婆、陪孩子，还好，他们在 blog 上及时的汇报最新进展，并在主页上直播他们的工作进度。目前升级已近尾声，整个过程中最大的工作量数据库转移基本完成，顺利的话这个周就能看到结果了——我想说明天，但还是保险点吧，这么多天都等了，不差再来个几天。 本来这次跳票使他们不得不在主页上放置电视直播来安慰群众，但看起来他们是爱上这东西了。 Mark III 发布后，随之一同发布的还有 ZooomrTV ，他们将用 ZooomrTV 长期播放 Zooomr 的内部情况。老兄，你们是不是临时把这个东西加上的啊，怪不得升级拖了这么久…… Update: 30 号，他们似乎又在升级中损坏了数据库，看来这个周无法保证，大家安静的等待吧。

OpenID 2.0 草案仍然在缓慢的进展，社区不仅在争论是否要将 i-name 支持放进核心，同时也在为给新版本穿上漂亮的衣服而焦头烂额。去年晚些时候， OpenID 邮件组中出现过几个建议性的设计： 我不得不说，这几个 logo 真的是很烂，烂到讨论表中的成员自己都不怎么感冒；还是来看看下面的这些设计吧，养眼多了： 你喜欢哪个？

作为老牌的相册网站， Zooomr 不仅在 OpenID 社区中享有极高的声誉，而且凭借自己的技术实力，吸引着一大批忠实用户。今天登陆 Zooomr ，我们看到一个崭新的 logo 以及 CTO Kristopher Tate 带给我们的喜人消息： Zooomr 正在升级。官方宣称这次 Zooomr 将带来惊人的超过 250 种新特性，从页面上方的两段视频，我们可以略知一二。 图片 Twitter 为什么到处都是 Twitter ？因为它的模式实在是太容易复制了。之前 getsb 率先引入图片式 Twitter 的概念，而从视频上来看， Zooomr 这次似乎并不是照搬 getsb ，而是——完全照搬 Twitter 。图片用于穿插于你的唠叨中，而非代替唠叨。 无限空间和流量 我买不起 Flickr 的 pro ，所以这个我喜欢。 独立账户 其实很少有网站会仅仅支持 OpenID ， Zooomr 可能开始于对 OpenID 的热爱，但一旦你要面对公众，你就得作出妥协。由此可以看出， OpenID 仍然是多么的不普及。同时，没有任何片断说明新的 Zooomr 会支持 i-name 。 买卖图片 从视频中，我们看到了 Marketplace 的介绍。由于网站还没开通，对这个新鲜东西目前还很难定位。简单来说，你卖图片，他们抽成，当然前提是有人买你的图片。很有趣的商业模式，成不成不好说，但看在他们免费提供无限空间，一个赚钱模式总是需要的。 开放 API 十分重要的更新。看看 Twitter 就知道，一个烂的不能再烂的网站，只要你开放了 API ，再碰上一点好运气，想不火都难。 总的来说，这些都是很吸引人的新特性；整个升级最长可能会持续 [...]

大家好！ 欢迎来到 IDself.cn ，这是一个关注 OpenID 发展和动向的博客。我自己不是什么技术高手，所以文章多数立足于用户的角度，向大家介绍 OpenID ，帮助大家使用 OpenID ，也欢迎大家一起来讨论 OpenID 。