OpenID におけるセッション管理

どうやらはてなスターでは, ユーザが OpenID を使ってログインした段階で, ローカルにそのユーザのログイン・セッションを生成するっぽい. でも OpenID の現行の仕様にはシングル・ログアウトが定義されていない (というか過去の議論 \*1 \*2 \*3 を読む限りでは, 意図的に定義しない) から, OpenID プロバイダ側でログアウトしても, はてなスター側のログイン・セッションは破棄されずに残ることになる.

どう対処するかを勝手に考えてみた:

  1. OpenID の仕様上, これは期待どおりの挙動なので, なにも対応しない
  2. はてなスター側でログイン・セッションを管理するけど, セッションの有効時間を比較的短くする (30 秒とか, 5 分とか)
  3. OpenID でログインしている場合には 「xxx という OpenID でログインしています. はてなスターからのログアウトはこちら」 と表示する
  4. はてなスター側ではログイン・セッションを管理せずに, OpenID URL の妥当性を毎回確認する (かなり使い勝手が悪くなりそう)
  5. OpenID プロバイダでログアウトしたときに, 同時に使っていた Relying Party でもログアウトするような, ブラウザのアドオンを開発する
  6. OpenID におけるシングル・ログアウトの仕様を提案する

個人的には 2. がいいかなと思う. 最後のふたつはたぶんないだろうな...

Comments:

Post a Comment:
Comments are closed for this entry.
About

tkudo

Search

Archives
« April 2014
SunMonTueWedThuFriSat
  
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
   
       
Today