Étant en plein développement d’un petit pastebin-like en python ( enfin c’est un peu plus que ca, mais j’en reparlerais quand il sera fini ), le problème de la gestion de mes utilisateurs s’est posé assez vite.

Ne voulant pas avoir à gérer moi même l’authentification ( D’abord parce que je ne juge pas ça nécessaire, des choses comme OpenID le faisant très bien, et ensuite, ok, par flemme un peu, pas envie de gerer les mots de passes, les resets, d’être sur que tout est 100% secure…),  je me suis rappelé que mon compte StackOverflow s’identifie via mon google account. En creusant un peu, j’ai appris que leur authentification était gérer par un service se nommant RPX.

Mais RPX c’est quoi exactement ?

RPX est un service d’authenfication par OpenID assez jeune, et pourtant utilisé sur un certain nombre de sites de taille importante, comme UserVoice , Interscope, ou encore StackOverflow, dont je parlais dans un précédent billet.

Allez, comme un joli schéma vaut mieux qu’un long discours, RPX fournis un service qui ressemble à ca :

Traduction : RPX se positionne entre votre site web et les fournisseurs d’identification tierces (comme OpenID ou GoogleID par exemple ), et facilite l’utilisation de ces derniers.

En pratique, lorsque l’utilisateur va vouloir s’authentifier sur votre site, il va passer par une widget RPX (iframe embarquée ou popup), qui lui présente la liste des fournisseurs disponibles.

Par exemple, sur le site d’uservoice (la widget est a gauche, uservoice propose aussi une inscription directe au site) :

L’utilisateur choisir son système d’authentification et est alors dirigé vers la page de login du fournisseur tier. Par exemple pour facebook, il arrive ici :

Une fois l’authentification effectuée, l’utilisateur est redirigé vers votre site. (Pour certain fournisseurs comme google, lors de la première identification, l’utilisateur passe par une page lui demandant de confirmer qu’il autorise bien le site à accéder à ses informations)

Et c’est la que RPX fait la jointure retour avec votre site : une fois que l’utilisateur s’est authentifié, RPX vous indique (de façon sécurisée évidemment) si l’utilisateur s’est correctement authentifié ou non, et si oui, il vous transmet ses informations publiques ( email, nom d’utilisateur, nom d’usage et clef openId ).

A partir de la, vous avez votre utilisateur authentifié, vous savez qui il est, et vous êtes libre de faire ce que vous voulez (inscription en base, passage en session…)

Coté services

RPX propose 3 types de comptes :

• Basic ( Gratuit )
• Plus ( 100$ / an )
• Pro ( 500$ / an )

Je vous rassure tout de suite, le basic est largement suffisant pour tout ce qu’on pourrait vouloir sur un site de petite voir moyenne envergure :

Il est limité à 6 providers d’identifications (alors que les autres types de comptes n’ont pas de limite), cependant on peut quand même choisir ceux qu’on veut tous ceux disponibles,  c’est amplement suffisant ( personnellement j’ai pris OpenID, Google, Facebook, Twitter, Yahoo et AOL, ce qui couvre deja pas mal). A noter que pour facebook et twitter, il faut faire une petite manip pour créer une application tierse, mais tout est très bien expliqué sur le site de RPX, ca se passe donc sans problèmes.

Hormis le nombre de providers, les différences entre les types de comptes viennent surtout du support apporté à coté ( profiling, stats, customisation de la widget… ). plus d’information dans le comparatif sur le site officiel.

Les points négatifs

Même si le service proposé est vraiment intéressant, il faut quand même noter quelques points négatifs :

Tout d’abord, l’appel à la widget affichant le service d’identification est relativement lent (au moins pour les comptes gratuits, ca à l’air moins lent sur uservoice et stackoverflow). En effet l’affichage de l’iframe sur la page de login doit mettre une bonne seconde à s’afficher. C’est un détail, mais tout de même.

Ensuite, cela peut dérouter les utilisateurs ne connaissant pas le principe :l’utilisateur arrive sur un site, cherche à s’inscrire, et se retrouve diriger vers sa page google ou facebook. Cela peut dérouter quelques peu, voir même ressembler à du phishing. De plus, même si, quand on prend le temps de se renseigner, on sais que les informations fournis par les providers sont publiques (email, nom, clef openId … rien de très compromettant), on peut être effrayer au début en autorisant facebook à délivrer ses informations personnels à un site tier…

Enfin, pour finir, même si les risques sont très faibles, le jour ou le service RPX tombe en rade, on se retrouve avec un joli site sur lequel toute identification est impossible…

Un retour un peu plus complet sur les “dangers” de RPX est consultable ici , même si la plupart des choses ne sont pas spécifiquement objectives.

Sinon, pour ceux que ca intéresse, un autre billet devrait bientôt suivre sur comment brancher RPX sur un Pylons. En attendant, le tutoriel sur lequel je me suis principalement basé est disponible ici.

RPX -  RPXNow.com