Hi Sam,<br>
<br>
Just a clarification - consumers wouldn't be sending signed requests to
the ID server, the consumers would only send signed requests to other
webservices. This is so that you can log into your typepad account and
tell typepad that you trust the following sites to post to your weblog.<br>
<br>
* <a href="http://flickr.com">flickr.com</a><br>
* <a href="http://43things.com">43things.com</a><br>
* <a href="http://foopad.com">foopad.com</a><br>
<br>
Then whenever you choose &quot;post to blog&quot; from flickr, flickr will
generate the metaweblog post, calculate and attach the signature to the
query string, and then make the post to typepad. That way you don't
have to enter your typepad password at flickr, you just tell typepad
that you trust flickr. <br>
<br>
Actually - upon further thinking about it - this kind of webservice
authentication doesn't need to be part of OpenID. It'd be cool to be
part of OpenID to ride it's coat-tails - but there's no need for the
identity server to keep track of public key URLs.<br>
<br>
You can put this idea in the *wishlist* category. :)<br>
<br>
Ben<br>
<br><div><span class="gmail_quote">On 5/20/05, <b class="gmail_sendername">Sam Kramer</b> &lt;<a href="mailto:slambo2001@gmail.com">slambo2001@gmail.com</a>&gt; wrote:</span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Instead of public keys, what if the OpenID server randomly generates a<br>small key, and tells the consumer to use it to encode the trackback?<br>I like this better than having optional public keys for consumers<br>because instead of the consumer having the decision about securing
<br>what they send, the OpenID server has the decision about requiring<br>what they receive to be secure.&nbsp;&nbsp;If the server doesn't care about the<br>security, it shouldn't have to put up with decrypting the trackback<br>info.
<br><br>Hope this makes some sense.<br>-Sam<br><br>On 5/19/05, Ben Nolan &lt;<a href="mailto:bnolan@gmail.com">bnolan@gmail.com</a>&gt; wrote:<br>&gt;<br>&gt; (I'm ashamed of my url to private key idea) ;)<br>&gt;<br>&gt; &gt; If consumers had private keys (which would suck as a requirement... too
<br>&gt; &gt; much pain), then what do they get from signing a trackback?&nbsp;&nbsp;What does,<br>&gt; &gt; say, LiveJournal benefit from getting a trackback that's singed from<br>&gt; &gt; <a href="http://someblog.com">someblog.com
</a>?&nbsp;&nbsp;That we know it came from someblog and can trust it?&nbsp;&nbsp;We<br>&gt; &gt; can't trust the contents... so that the origin is correct?&nbsp;&nbsp;I'm not<br>&gt; &gt; bashing this idea... I just don't fully understand what's being
<br>&gt; &gt; verified/protected.<br>&gt; &gt;<br>&gt;<br>&gt;&nbsp;&nbsp;We're verifying that the comment came from someblog. And we trust someblog<br>&gt; to *some extent* (because we shared our identity with it) - so we'll trust
<br>&gt; it enough to post a trackback to a comment we made. The purpose of this is<br>&gt; that we can recieve notification of comments that we post in the<br>&gt; 'blogosphere', so that I an keep a track of comments I make.
<br>&gt;<br>&gt;&nbsp;&nbsp;The consumer could also use their public key to sign any posts they send to<br>&gt; my weblog, so my identity server could tell my wordpress install to trust<br>&gt; someblog - then if our atom api recieves a request with the querystring
<br>&gt; params openid.trust_root=http://someblog/&amp;openid.sig=...<br>&gt; it'd know to accept that post.<br>&gt;<br>&gt;&nbsp;&nbsp;It just seems a simple way to let consumers identify themselves to services<br>&gt; other than the identity server.
<br>&gt;<br>&gt;&nbsp;&nbsp;And the public key would be *totally* optional for consumers, but if we add<br>&gt; a recommendation that ID servers record the URLs to consumers public keys,<br>&gt; it gives us lots of flexibility with no additional work for consumers, and
<br>&gt; minimal extra work for ID servers.<br>&gt;<br>&gt;&nbsp;&nbsp;Hope that makes more sense this time.<br>&gt;<br>&gt;&nbsp;&nbsp;Ben<br>&gt;<br>&gt; _______________________________________________<br>&gt; yadis mailing list<br>&gt; <a href="mailto:yadis@lists.danga.com">
yadis@lists.danga.com</a><br>&gt; <a href="http://lists.danga.com/mailman/listinfo/yadis">http://lists.danga.com/mailman/listinfo/yadis</a><br>&gt;<br>&gt;<br>&gt;<br></blockquote></div><br>