Informazioni personali su login senza password sul sito

Editore: Jack | 04-17-2018

La maggior parte dei siti Web richiede agli utenti di accedere. Una pratica comune è che gli utenti registrino un account. Questa pratica non è soddisfacente. Per gli utenti, ogni sito web deve ricordare una password, che è molto fastidiosa. Per gli sviluppatori, devono assumersi la responsabilità di proteggere la password. Una volta che la password perde, sarà un duro colpo per il business e la reputazione del sito.

Così, molto tempo fa, la gente ha iniziato a pensare al "login senza password". Ciò ridurrà notevolmente l'onere per gli utenti e i siti web.

Questo articolo esamina in primo luogo diverse pratiche comuni per "login senza password" e quindi discute una delle implementazioni più semplici.

Uno, OpenID OpenID è il primo tipo di accesso senza password. La sua idea è questa: ogni URL su Internet punta a una pagina web unica, il che significa che l'URL è unico. Pertanto, gli utenti possono essere identificati dagli URL.

Pertanto, i siti Web che utilizzano OpenID non richiedono all'utente di inserire un "nome utente" e richiedono invece all'utente di immettere un URL che rappresenta la loro identità. Quindi, verifica l'URL e, se verificato, consenti all'utente di accedere, implementando quindi "nessun accesso alla password".

OpenID ha due principali svantaggi: in primo luogo, richiede il supporto sul lato server. In secondo luogo, utilizza gli URL per rappresentare identità. È controintuitivo e difficile da comprendere per gli utenti ordinari. Pertanto, non può sempre essere promosso.

Secondo, account di terze parti L'essenza di OpenID è consentire ai siti Web di terze parti di autenticare gli utenti. Ovviamente, questo è equivalente agli utenti che accedono a siti Web di terze parti.

Pertanto, è possibile comunicare direttamente all'utente l'accesso utilizzando un account di terzi (a condizione che l'altra parte supporti OpenID).

I vantaggi di farlo sono più intuitivi e più facili da accettare per gli utenti; lo svantaggio è la propria attività e più o meno dipende dai siti Web di terzi. Ad esempio, molti siti Web utilizzano ora account Facebook per accedere. Una volta che Facebook fallisce, questi siti Web ne risentiranno.

Terzo, Persona L'anno scorso Mozilla ha proposto il programma Persona, che afferma di essere la soluzione definitiva per il login senza password.

È simile a OpenID. Quest'ultimo identifica l'utente con un indirizzo web, che identifica l'utente via email. Dopo che l'utente digita l'indirizzo email, il sito Web richiede l'autenticazione dal server di posta elettronica.

Anche se questo programma è ancora nel periodo della promozione, l'effetto rimane da vedere. Tuttavia, al momento non ne sono ottimista. D'altra parte, i suoi requisiti tecnici e i suoi processi sono più complessi di OpenID e non possono essere dichiarati chiaramente in un'unica frase. In secondo luogo, richiede il supporto sul lato server. È difficile immaginare che la maggior parte dei server di posta elettronica del mondo distribuirà il codice Persona.

Quarto, OAuth Il protocollo OAuth è in realtà lo stesso di un "account di terze parti". Un "account di terze parti" è un sito di terze parti che fornisce l'autenticazione dell'utente ed è un servizio di "autenticazione"; OAuth è ancora più avanzato. Un sito di terze parti consente di manipolare direttamente i suoi dati utente ed è un servizio di "autorizzazione".

A causa di cambiamenti nei dati dell'utente, l'autenticazione OAuth è più severa dell'autenticazione Openid. Di solito, OAuth è necessario solo per servizi esterni su un determinato sito Web di terze parti; se si tratta semplicemente di distinguere le identità degli utenti, non è necessario utilizzarlo.

Cinque, e-mail di accesso una tantum I suddetti quattro metodi di accesso sono attualmente il mainstream "no password login". Di seguito, vorrei presentare la più semplice implementazione, proposta dal programmatore americano Ben Brown a luglio di quest'anno.

Il suo approccio è semplice. Quando l'utente esegue l'accesso, viene visualizzata una sola casella di input per l'indirizzo di posta elettronica.

Dopo che l'utente ha inserito l'indirizzo email, il sito Web invia un'email all'indirizzo contenente un collegamento di accesso. Quando l'utente fa clic su questo link, dimostra di essere effettivamente il proprietario di questa cassetta postale e l'identità è valida, realizzando in tal modo il login.

Il link di accesso è valido solo per un periodo di tempo, ma può consentire agli utenti di accedere per un lungo periodo tramite i cookie. Se il cookie fallisce, riemettere alla casella di posta dell'utente un altro collegamento di accesso.

Poiché l'intero processo di certificazione è stato completato via e-mail, il "login senza password" è stato completamente implementato e il flusso operativo è stato naturale e facile da capire. Ancora più importante, utilizza il protocollo di posta elettronica esistente, non richiede la distribuzione lato server del nuovo codice e ha la migliore compatibilità.

Lo svantaggio principale è che richiede all'utente di visualizzare una e-mail una seconda volta, il che è un po 'complicato. Inoltre, non è adatto a situazioni in cui gli utenti non possono aprire e-mail, ad esempio navigare in Internet a casa di un amico. Pertanto, utilizzando il proprio sito Web, è necessario anche distribuire un metodo di accesso alternativo.