• http://specs.openid.net/auth/2.0/signon
• http://specs.openid.net/extensions/pape/1.0

說實在的，真是有點少呀。

先謝謝你的回應。

對於 BBAuth，既然這是 Yahoo 自己的專屬協定，愛開放多少，其實外人是沒什麼權力要求的；頂多是選擇要不用採用而已。

問題是，對於 OpenID 這個已經是開放標準，而且早有業界經驗可循的先例，Yahoo 顯然做得還不夠：

1. 我在 Yahoo「會員公開檔案」後台。早已授權開放部份個人資料（譬如：暱稱、個人網頁）。我本來就預期 Yahoo 公開的 API，會認可我所授權開放的範圍。
2. 既然 OpenID 有提供 SReg 管道讓 consumer 進一步查詢 identity 資訊，而且這也是 OpenID 業界經驗的普遍行為，Yahoo 應該尊重這種標準以及慣例。

再對照今天自由時報〈申設公共金鑰終結混「帳」〉的報導：

對於尚無法「一卡走遍天下」，台灣奇摩雅虎科技研發工程部資深經理簡西村表示，目前提供 OpenID 用意，僅是希望 Yahoo 的用戶可以 OpenID 註冊、用比較安全的方式試用新興網站，至於能否滿足網友的需求，就讓網友自行去評斷了。

我真的覺得，Yahoo 的 OpenID 應該要更努力一點，做個表率。

As for Yahoo’s OpenID, which is actually quite a driver for the much-improved 2.0 (imho the id_selector thing is the most important one)… in terms of email and other info, they are defined as the sreg extension, which is up to the OP to provide, due to privacy consideration…. I do agree Yahoo should have options for users consent sreg requests from OpenID RP, but it’s not an issue of the openid standard itself, and I’d rather not accuse them for ignoring standards.