個人的なホワイトリスト案
現在構想中のWebアプリでは、リソースの表現を英語と日本語から選べるようにしようと考えています。日本語圏以外の方にも使っていただきたいので。
いわゆるソーシャルなWebアプリなので、ユーザ登録も必要になります。が、ユーザ視点に立つと、個人が運営するWebアプリにユーザ登録するのは少し抵抗があります。「どこぞの馬の骨に俺様の認証情報あずけて大丈夫なんけ?」ということです。開発者視点でも、ユーザ管理であまり悩みたくない(「パスワードリマインダ必要だなあ」とか「だったらメールアドレスも預からなきゃなあ」とか)。
そこでOpenIDですよ。ユーザ登録時には、まずOpenIDで認証してもらい、コールバック画面で好みのアカウント名を入力させ、Claimed Identifierと紐づけるのが良いかなと思っています(Fastladder方式)。
RPとなる場合、すべてのOPを信頼するのかというレピュテーションの問題が浮上してきます。無条件に信頼してユーザやWebに迷惑をかけることになってはまずいのでOPを絞りたいのですが、現状、有効なレピュテーションシステムは確立されていません。やはり、ホワイトリスト方式の採用がベストなのでしょう。
で、どのOPを信頼するか、好みで選んだ結果、こうなりました。
- myopenid.com
- yahoo.com
- yahoo.co.jp
なんかすみません…。絞りに絞ったほうが、逆にユーザビリティが高まるような気がして…。日本語圏だけのWebアプリだったら「yahoo.co.jp」のみにしていたかもしれません。
「livedoor.com」も迷ったのですが、OpenID対応はベータらしいので、全面的には信頼できませんでした。
あと、XRIは全面的に信頼して良いのかも。お金が絡んでますからねー。