Google Code : API OpenID par Google : passage à la vitesse supérieure

Il y a 6 mois nous annoncions notre premier pas vers la prise en charge du protocole OpenID, et nous souhaiterions aujourd’hui vous informer de nos efforts en la matière. En tant que fervent supporter d’OpenID, la priorité de Google dans ce domaine a été de rejoindre la communauté OpenID dans ses efforts visant à populariser l’adoption du protocole à la fois par les sites web et par les internautes. Dans cette optique, nous avons travaillé sur de nouveaux moyens d’améliorer l’utilisation d’OpenID et d’étendre ses fonctionnalités.

Notre première tâche, annoncée en janvier 2009, a été d’introduire l’API “Hybrid Protocol” — qui combine la connexion fédérée propre à OpenID avec le protocole d’identification OAuth. L’Hybrid Protocol permet aux sites web de demander à Google d’identifier un utilisateur via leur compte Google, tout en demandant l’accès aux informations disponibles via OAuth. En combinant les deux protocoles, le site web partenaire offre à ses utilisateurs une expérience de navigation beaucoup plus légère en réduisant le nombre de redirections. Plaxo, l’un des sites utilisant l’Hybrid Protocol, a publié une présentation revendiquant un taux de succès phénoménal de 92% avec cette API.

Nous sommes aujourd’hui ravis d’annoncer deux nouvelles améliorations pour notre API : une nouvelle fenêtre pop-up d’identification pour les utilisateurs, et l’ajout du nom, du pays et de la langue natale.

La nouvelle fenêtre pop-up, basée sur l’extension d’interface OpenID, est conçue pour simplifier l’identification, et plus spécifiquement pour que l’utilisateur ne quitte jamais le site web partenaire, même si celui-ci ferme par erreur le message de confirmation envoyé par Google. JanRain, un fournisseur OpenID, est l’un des premiers à avoir adopter cette nouvelle API, et la propose déjà sur son service RPX. Comme l’a souligné UserVoice en testant RPX, la première étape de la page de connexion du site partenaire est identique à la version plein-écran, et ne nécessite aucune modification de la part du site.

Une fois que l’utilisateur choisi de s’identifier via son compte Google, une page demandant confirmation s’affiche. Cependant, elle ne remplace pas le site partenaire, mais est affichée dans une fenêtre pop-up au dessus de ce dernier. Nous avons mis à jour la page de notre projet en licence libre pour y ajouter un exemple de site partenaire, en fournissant le code pour à la fois les composants JAVA et JavaScript.

Dès que l’utilisateur accepte la requête, la fenêtre pop-up se ferme, et l’utilisateur est connecté au site partenaire.

Notez que la fenêtre pop-up ne remplace pas la version plein-écran de la page Google, et ne modifie pas le comportement de notre site partenaire. C’est à celui-ci de décider quelle version il préfère, et de modifier sa requête OpenID comme défini dans la documentation de l’API.

Comme vous pouvez le voir sur les images, l’utilisateur ne fait pas que se connecter à son compte Google, mais partage également des informations spécifiques tirées de son compte Google avec le site partenaire. Ces informations peuvent être des champs particuliers (via l’extension OpenID) comme l’adresse email, le nom/prénom, et la langue de prédilection, ou l’autorisation d’accéder à des API Google comme le carnet d’adresse, les albums web, ou l’agenda (via OAuth). Google croît fermement que les données que nous confient nos utilisateurs leurs appartiennent et devraient toujours être à portée de clic. En leur donnant des moyens plus sécurisés de partager leurs données, ils peuvent profiter d’une expérience plus riche, personnalisée et sociale lorsqu’ils se connectent à des sites de confiance. Parallèlement, les sites partenaires peuvent grandement simplifier leur processus de création de compte et d’identification.

Si vous êtes intéressé par nos progrès en la matière et de leurs impacts, inscrivez-vous aux listes de diffusion OpenID et OAuth.

Par Yariv Adan, équipe Google Sécurité