Mozilla、Webサイト向けのユーザー認証システム「BrowserID」を公開
MozillaのIdentity teamは7月14日、Webサイト向けの新たなユーザー認証システム「BrowserID」を公開した。ユーザーとWeb開発者の両者にとって安全で使いやすい認証システムを目指すという。
Web開発者にとって、ユーザー認証をどのように実装するか、というのは難しい問題である。たとえば古典的な方法としてメールアドレスの入力を求めるというものがあるが、この場合ユーザーはサイトごとにメールアドレスやパスワードの登録を行う必要があり、また開発者もトークンの発行やメールの送信といった機能の実装を強いられるため不便である。また、FacebookやTwitter、Googleなどが提供しているユーザー認証システムを使うというオプションもあるが、これらは各サービス事業者に依存してしまうという問題がある。そこで開発されたのがBrowserIDだ。
BrowserIDはメールアドレスおよびパスワードによる認証機構を提供するものだ。認証情報はBrowserIDサーバーに記録され、1つのBrowserIDアカウントでBrowserIDを利用するすべてのWebサイトにログインできる。
トークンの発行やメールの送信といった認証機構はBrowserIDサーバー側で提供されるため、Webサイト側ではBrowserIDへのアクセス機能を提供するJavaScriptコードのロードやログインボタンの設置といった、数行のコード追加だけで認証機能を利用できる。
メールでの認証には「Verified Email Protocol」というセキュアなものが用いられ、なりすましなどの不正行為を防ぐことができるという。認証にはBrowserIDサーバーとの通信が必要だが、オープンなBrowserIDサーバーだけでなく自前でBrowserIDサーバーを運用して利用することも可能とのこと。プライバシにも配慮し、BroserIDサーバーはどのサイトでユーザーがログインを行うかといった情報を外部に漏らさないようになっているという。
BrowserIDはまだ実験的段階であるが、すでにデモサイトなどは公開されており、認証機能を利用することも可能なようだ。チュートリアルなどのドキュメントも用意されている。
BrowserID
https://browserid.org/
Mozilla Identity team
http://identity.mozilla.com/