Jakie są zalety (i wady) korzystania z „Zaloguj się przez Twitter / Facebook” w nowej witrynie? [Zamknięte]

Ja i mój przyjaciel chcemy uruchomić małą stronę forum. Rozważam użycie interfejsów API „Zaloguj się przez Facebook / Twitter”, być może wyłącznie (a la Lanyrd ), do logowania użytkownika. Nigdy wcześniej nie korzystałem z żadnego z nich, ani nie prowadziłem strony z loginami użytkowników.

Jakie są zalety (i wady) tych interfejsów API? Konkretnie:

1. Jakie korzyści czerpię jako programista z ich używania? Jakie są wady?

2. Czy użytkownicy końcowi faktycznie ich lubią?

3. Czy napotkałeś jakieś problemy techniczne / logistyczne związane z tymi interfejsami API?

Oto zalety i wady, które mam do tej pory:

Plusy

• Bardziej wygodny dla użytkownika („zarejestruj się” za pomocą dwóch kliknięć, zaloguj się za pomocą jednego kliknięcia)
• Prawdopodobnie nie ma potrzeby utrzymywania własnego systemu logowania

 Cons

• Brak kontroli nad naszym procesem logowania
• Wyklucz użytkowników Facebooka / Twittera, którzy obawiają się, że uzyskamy jakiś dostęp do ich kont
• Konta użytkowników w naszej witrynie są zagrożone, jeśli ich konta na Facebooku / Twitterze są zagrożone.
• A jeśli nie utrzymamy własnego alternatywnego systemu logowania:
  • Zależność na Facebooku / Twitterze dla naszego systemu logowania
  • Wyklucz z naszej witryny użytkowników spoza Facebooka / spoza Twittera

Wadą, którą chciałbym powiedzieć, jest to, że użytkownik może być paranoikiem, że teraz zalogował się do Twojej witryny przy użyciu swoich danych logowania na Facebooku / Twitterze, sądząc, że Twoja strona ma pełny dostęp do wszystkich swoich informacji na tych kontach.

Proszę nie rób tego.

Wiele osób, zwłaszcza tych, które nie mają siedziby w USA, nie będzie miało konta na Facebooku i nie utworzy konta pamiętającego wszystko, co zostało powiedziane w związku z Facebookiem i jego ignorancją prywatności użytkowników.

W przeciwieństwie do tego, w co wielu wierzy, jest wielu ludzi, którzy szczęśliwie żyją bez tych szumów społecznych i niepotrzebnych stron i nie obchodzą ich.

Po co pluć im w twarz i odrzucać je tylko dlatego, że nie ulegli masowej histerii zwanej Facebook?

Inne kwestie do rozważenia:

1. Wprowadzisz pojedynczy punkt awarii, uzależniając go od systemu zewnętrznego. Jeśli zdecydują się na zamknięcie swojego OpenID lub zmuszą cię do zapłaty, jesteś bardzo spieprzony.

2. Będą zbierać dane o twoich użytkownikach i kto wie, co z tym zrobić. Przynajmniej użyją go w celach marketingowych i ostatecznie zarobią na tym pieniądze i nie dadzą ci kawałka ciasta.

3. Przyjmując ich jako dostawcę OpenID, będziesz dalej wspierać ich quasi-monopol i pomóc im jeszcze bardziej się rozwijać. Wykonujcie pracę społeczną i nie przyczyniajcie się do tej plagi.

Kolejny minus: wyklucz użytkowników spoza Facebooka i Twittera (lub użytkowników, którzy nie czują się bezpiecznie, udostępniając swoje dane logowania innym stronom). Lub sprawić im niedogodności, zmuszając ich do utworzenia konta zewnętrznego. Osobiście nie podoba mi się idea pojedynczego punktu awarii, że jeśli ktoś otrzyma moje dane logowania na Facebooku / Twitterze, może dostać się na dowolną inną stronę, która korzysta z tych samych informacji. Ale może jestem po prostu paranoikiem.

Widzę, że jest on używany jako opcja , ale straciłbyś wielu potencjalnych gości, gdybyś potrzebował konta na Facebooku lub Twitterze. Nawet jeśli goście mają konta FB, wielu nie chce ich używać do celów związanych z prywatnością. Z pewnością nie chciałbym podawać przypadkowych informacji osobistych umożliwiających identyfikację.

I tak prawdopodobnie nadal będziesz potrzebować jakiejś formy systemu śledzenia użytkowników, ponieważ możesz chcieć śledzić informacje o użytkownikach związane z Twoją witryną, takie jak preferencje.

Strona ja często ma swoje lokalne logowania konta użytkownika / systemu, ale użytkownicy mają możliwość łącząc swoje konto z kontem na Facebooku, jeśli chcą. Tak więc dla tych osób mają zalety łatwego logowania, jeśli chcą, i nikt nie jest zmuszony do korzystania z loginu na Facebooku, jeśli nie chce. Powiedziałbym, że działa całkiem dobrze.

Bawiłem się przy użyciu OpenID, Facebooka i Twittera do logowania. Pewnego razu testowałem to i z jakiegoś powodu nie mogłem się zalogować za pomocą Facebooka. Po przejrzeniu strony programisty Facebooka zauważyłem, że ich serwer API nie działa. To duża wada, gdy użytkownicy nie mogą się zalogować, ponieważ Facebook ma pewne przestoje. Twitter może mieć te same problemy, co OpenID.

To naprawdę zależy od tego, jaki jest twój rynek docelowy. Na przykład na niektórych rynkach docelowych problem „wykluczenia osób niebędących użytkownikami” jest niewielki (prawie wszyscy użytkownicy je mają i chętnie się nimi dzielą). W innych jest to ogromny problem.

Można to zobaczyć tutaj w odpowiedziach: programiści zwykle bardzo ostrożnie podchodzą do bezpieczeństwa i nie chcą udzielać dostępu, stąd całe „NIE!”. odpowiedzi :-p Osoby nietechniczne są mniej ostrożne.

Ale oczywistą odpowiedzią jest zrobienie zarówno fb / twitter, jak i własnego systemu, jeśli możesz. Wtedy wszyscy są szczęśliwi.

Mam konto na Facebooku, ale gdy mam do czynienia z witryną, która chce, żebym się za jej pomocą logował, nie mam. Jeśli istnieje alternatywna metoda, skorzystam z niej. Jeśli nie, to tak naprawdę nie chcę zobaczyć, co jest na tej stronie. Nienawidzę wchodzić na strony i widzieć, co zrobili inni znajomi z Facebooka również na tej stronie, jest to przerażające i ingeruje w twoją prywatność (szczególnie, gdy nie zalogowałem się przez Facebooka lub nie powiedziałem stronie o moim koncie na Facebooku).

Jedną z zalet robienia tego w ten sposób - jak testować lokalnie bez skomplikowanych zależności zewnętrznych? Jak skonfigurować losowe konta testowe? Konta demo? Konta użytkowników innych niż ludzie? Zwykle potrzebny jest lokalny schemat uwierzytelniania, aby pokryć te permutacje, nawet jeśli istnieje nadzieja, że ​​większość użytkowników przechowuje poświadczenia na zewnątrz.

Co najważniejsze - jeśli nie masz połączenia z Internetem, nie możesz nawet włamać się do aplikacji, a tym bardziej zrobić prace materialne. A jeśli masz błędy w uwierzytelnianiu lub autoryzacji, jak możesz być pewien, że nie jest to problem z Facebookiem / Twitterem / innym problemem, jeśli nie możesz uruchomić czegoś prostego i lokalnego, aby upewnić się, że kod jest poprawny?

Powiedziałbym, że korzystanie z zewnętrznego systemu logowania może działać bardzo dobrze - spójrz na to, jak openID nas używał do stackoverflow i stackexchange. Zaleta jest ogromna: nie musisz kodować całego systemu logowania, który jest dużą częścią początkowej bazy kodu, którą możesz po prostu zignorować i nie masz szansy, że się pomylisz, i może pozwolić komuś innemu martwić się, jakie hasło jest wystarczające, jak je zresetować itd. A jeśli mają już gdzieś openid (albo z konta blogowego, albo z konta skonfigurowanego w celu uzyskania dostępu do stackoverflow), nie muszą pamiętać innej kombinacji nazwy użytkownika / hasła.

Wadą jest to, że wielu użytkowników uważa to za nieco mylące i może nie chcieć utworzyć openid na zewnętrznej stronie, jeśli jeszcze go nie używał.

Korzystanie z logowania na Facebooku ma wszystkie te zalety, a także możliwość połączenia się z kontem na Facebooku, jeśli pozwalają.

Minusem jest to, że jeśli polegasz wyłącznie na Facebooku, przywiązujesz się do nich: jeśli Facebook kiedykolwiek zmieni swój interfejs API lub zablokuje Twoją witrynę, lub użytkownicy tacy jak ja odmówią zalogowania się na stronie, która może udostępniać dane na Facebooku (którzy są wiadomo, że nie jest zbyt ostrożny, jeśli chodzi o nie wyciekanie tych danych do innych firm). Pamiętaj, że IIRC, nawet posiadając link „polub” na Facebooku lub „login” na twojej stronie, pozwoli Facebookowi śledzić, którzy zalogowani użytkownicy oglądają twoją stronę, po dwukrotnym kliknięciu.

Powiedziałbym więc:

• idealnie byłoby, gdybyś zezwolił na logowanie przy pomocy kilku zewnętrznych stron: openID, facebook, google itp.
• jeśli masz formularz logowania na Facebooku, nie umieszczasz go poprawnie na pierwszej stronie, pokazuj go tylko wtedy, gdy użytkownicy klikną „Zaloguj się przez Facebook” (nigdy nie będę narzekać na możliwość zrobienia tego :)) .
• Na początek zdecyduj, który z nich jest najszybszy do skonfigurowania, konta i hasła, openID lub coś innego.
• Zdecyduj, czy warto dodawać konta i hasła, czy nie, jeśli masz zewnętrzne logowanie. (Ale upewnij się, że masz przynajmniej kilka zewnętrznych logowań)

W każdym razie jestem ostrożny wobec głównych mediów społecznościowych, a zwłaszcza Facebooka, ponieważ ich liberalne lekceważenie w zakresie wymiany informacji jest dobrowolne. Ta nieufność ma złożony związek z tym, że pozornie większość aplikacji, które napotkałem, żąda wszystkich moich informacji, a następnie informacji o wszystkich, których znam, aby uczestniczyć w ich aplikacjach. Bujda. Wywiady z rządowymi kontrolami bezpieczeństwa wymagają wielu informacji, jakich większość się spodziewałaby, ale nie zbliżają się nawet do tego, czego „żąda” FB. Mam konto, ale jego zasoby są używane tylko do podstawowych funkcji.

Biorąc to pod uwagę, podoba mi się federacyjny identyfikator w koncepcji i praktyce (jak ogólnie openid i open auth). Myślę, że korzystanie z dostawców obsługiwanych przez głównych dostawców poczty internetowej jest trudne z kilku powodów. Jedną z oczywistych zalet federacyjnego identyfikatora (takich jak mniej par danych logowania do zapamiętania lub zarządzania w inny sposób za pomocą innej aplikacji lub dodatku lokalnego magazynu informacji logowania). Po drugie, ufam mojemu dostawcy poczty e-mail, że wykonał całkiem dobrą robotę, chroniąc moje dane osobowe (i w konsekwencji moją skrzynkę odbiorczą), o ile dbam o swoje dane uwierzytelniające (siła nazwy użytkownika / przepustki i rozsądnie kontroluję ujawnienie).

Mogę rozważyć innych dostawców Federated Id, ale będą musieli być przekonujący, zgodnie z celem Federated Id.

Wreszcie, integracja wielu dostawców niekoniecznie jest łatwa. Zespół Stackexchange jakiś czas temu skomentował wyzwania. Gdybym nie był na urządzeniu mobilnym, szukałbym ciebie.

Meh, najwyraźniej jestem w innym obozie. Dla mnie koncepcja Facebooka przetrwa próbę czasu. Być może nie będzie to Facebook w przyszłości, kto wie. Jednak wychodząc poza obawy teoretyków spiskowych dotyczących prywatności (możesz kontrolować swoją prywatność), moim zdaniem taka usługa stanie się „użyteczna”. Podnosząc telefon, aby do kogoś zadzwonić, wybierasz się na swoją skrzynkę pocztową, aby odebrać pocztę ... będziesz „Facebook” ze znajomymi, aby się z nimi skontaktować.

Już teraz zauważamy znacznie mniejszy ruch e-mailowy, gdy zamiast tego ludzie „Facebookują się”. To tylko kwestia czasu, ale poczta e-mail będzie nadal maleć w użyciu.

Pamiętaj również, że typami osób, które chcesz zalogować się do systemu, mogą być osoby, które mają konto na Facebooku. Ci, którzy zazwyczaj nie (z mojego doświadczenia) nie będą „uczestniczyć” w Twojej witrynie (ani w żadnej innej witrynie, jeśli o to chodzi).

Faktem jest, że niezależnie od tego, czy jest to facebook, czy nie, system, w którym każdy może natychmiast komunikować się z osobami, które akceptuje, będzie najlepszym kandydatem do internetowego systemu „jednokrotnego logowania”. Nie możesz po prostu odrzucić „rejestracji 2-kliknięciem i logowania bez kliknięcia / 1-kliknięcia” jako małych profesjonalistów, są OGROMNE!

Co dla osób martwiących się prywatnością, co umieszczasz na swoim profilu na Facebooku, który może być szkodliwy, jeśli zostanie wzięty? Dlaczego to tam wystawiasz?

Mój głos (na to, co jest warty) jest na to! Zwariuj, całkowicie zamień swój system członkowski na system tylko na Facebooku. Mam i moim użytkownikom do tej pory się podobało .