taurus

Hi,

ich möchte für eine Webseite einer der genannten Userautentication einsetzen.
Im Moment probiere ich gerade mit der YouTube API ( Weil Videos der User letzlich auf youtube liegen werden )
Aber: Ziemlich unschön das ganze.
Beim Klick auf "Login" leitet er auf die youtube Seite weiter und gibt erstmal eine dicke rote Warnung aus, das die Webseite (example.de) versucht auf die Daten zuzugreifen.
Sehr unschön wie ich finde ( Wenn die Box wenigstens nicht knallrot wäre..)
Außerdem: Ich hätte das ganze gerne in einer Shadowbox, aber hier macht wohl Google nicht mit. Die Header Anfrage liefert mir immer eine leere Antwort zurück.

Welche Möglichkeiten gibts denn noch das ganze sinnvoll und schön zu gestalten?
Hat jemand Erfahrungen mit OpenID? Bzw. ist ein google account denn in openid nutzbar?

Ich hab das Gefühl das ich doch eine eigenes Loginskript schreibe und die Videos der User erst auf meinem Server speichere und dann automatisch per Youtube an meinen Account übermittle..

Mister Ad

ChrisB

Nicht unschön, sondern Sinn und Zweck von OAuth.

Die Authentifizierung muss ueber die Seite/Domain des jeweiligen Auth Providers laufen, sonst waer's ja sinnlos.
Und dass der Nutzer explizit darauf hingewiesen wird, fuer welche Seite er sich authentifiziert, ist auch Sinn der Sache.

Lass dich nicht von solchen Kleinigkeiten stoeren.
OAuth setzt sich immer mehr durch, Facebook bietet das ja auch zur Verwendung in Kombination mit eigenen Seiten an.

Auch das ist absolut Sinn der Sache - sollte auch schnell klar werden, wenn man mal kurz ein bisschen nachdenkt
Ohne eine Adresszeile zu haben, in der ich als Nutzer sehen kann, dass ich meine Daten auch wirklich auf der Seite des Auth Providers eingebe, waere doch dem Phishing Tuer und Tor geoeffnet.
Wenn du mir nur innerhalb deiner Seite ein Formular anbietest, waere ich doch schoen daemlich, wenn ich da meine Google-/Youtube-/Facebook-/sonstwas-Zugangsdaten eingebe ...


Facebook bietet zwei unterschiedliche Wege zur Authorisierung an:
- den Server-side Flow, bei dem du auf die Facebook-Seite umleitest und anschliessend zurueck zu deiner Seite geleitet wird, und
- den Client-side Flow, bei dem du per JavaScript ein Popup von Facebook triggerst, und anschliessend auch in deinem JavaScript auf den Login des Nutzers reagieren kannst.

Schau in der Doku von Google nach, ob die aehnliches anbieten.

__________________
RGB is totally confusing - I mean, at least #C0FFEE should be brown, right?

taurus

das er umleitet wäre so nicht tragsich.. aber die meldung in dickem rot ist dann doch etwas zu krass. das wäre schöner gegangen.

wie darf ich das verstehen? ist doch das gleiche wie die server seitige variante? es öffnet sich auch ein popup nur eben mit js ?

Irgendwie bin ich da noch etwas abgeneigt. Das irritiert doch die Nutzer?
Das einigst sinnvoll wäre denke ich das parallel zum eigentlichen Login anzugeben.

Ich hatte bzgl dem Projekt an dem ich grad dran bin erst die Idee das die User die Videos auf Youtube stellen und ich Sie dann einbinde. Aber: Da binde ich die User an Youtube, was wen einer keinen Account hat bzw noch kein eigenes Profil.
Ich denke bei der Video Geschichte mach ich das lokal. Userlogin wäre aber eben was feines.
Ist es den erst "im Kommen" oder hat sich das schon etabliert? Hab das Gefühl das die User es erschrickt wenn Sie sich bei Google einloggen müssen... Verwirrend

ChrisB

Dann würden sie es wohl kaum in zwei Varianten anbieten

Beim Server-side Flow ist es eine Umleitung, erst mal weg von deiner Seite.
Beim Client-side Flow hingegen bleibt deine Seite bestehen, so wie sie ist.

__________________
RGB is totally confusing - I mean, at least #C0FFEE should be brown, right?

taurus

hast du da n beispiel? checks nicht wo wird autorisiert.. direkt auf der seite? im content? als popup?