it-swarm-vi.tech

Xác thực cục bộ thân thiện hơn với người dùng hoặc xác thực từ xa (OpenID, OAuth)

Từ góc độ khả năng sử dụng (không phải bảo mật), người dùng thấy gì thoải mái hơn?

  • Một trang web có trang đăng nhập riêng (cần đăng ký nhưng sau đó dễ đăng nhập hơn;

  • hoặc một trang web có xác thực từ xa (không cần phải đăng ký, nhưng phải được chuyển hướng để đăng nhập).

21
Sruly

Tôi nghĩ rằng hiện tại người dùng đã thoải mái hơn khi chỉ đăng ký trên trang web, tuy nhiên điều đó chủ yếu là vì đó là những gì hầu hết các trang web làm.

Nếu được thực hiện đúng OpenID và OAuth có thể hoạt động rất tốt. Cách StackExchange thực hiện rất tốt. Giải thích nó là gì, hãy chỉ ra rằng nếu bạn có bất kỳ loại tài khoản nào, bạn có thể chỉ cần nhấn nút và cũng phải làm gì khi nhấn nút đó. Nó gần như làm cho việc đăng ký các trang web StackExchange mới trở nên thú vị (gần như).

Một tùy chọn khác là sử dụng Kết nối Facebook để thêm nút "đăng nhập bằng Facebook" vào trang web của bạn. Khi nhấp vào, người dùng không rời khỏi trang của bạn mà thay vào đó được hiển thị hộp thoại theo kiểu Facebook để đăng nhập và sau đó cho phép ứng dụng truy cập ngày người dùng của bạn. Bạn thậm chí có thể yêu cầu những điều đặc biệt như quyền truy cập vào một số ngày của người dùng hoặc quyền để đăng lên tường của người dùng nếu bạn muốn. Nhược điểm rõ ràng với điều này là không phải ai cũng có tài khoản Facebook (mặc dù hơn nửa tỷ người làm).

15
matto1990

FWIW, tôi đã từng rời một trang web vì nó hỏi tôi OpenID của tôi là gì và tôi không biết làm thế nào để tìm thấy nó. Khi tôi lần đầu tiên sử dụng StackOverflow, tôi phải mất một giây để nhận ra lý do tại sao có trường URL ở đó thay vì trường tên người dùng/mật khẩu. Vì vậy, nếu bạn sử dụng OpenID/OAuth/LiveID/vv. đừng nói điều đó với người dùng - đó là một chi tiết triển khai.

3
Robert Fraser

Cho dù bạn sử dụng một dấu hiệu trên (SSO) hoặc phương thức cục bộ, bạn vẫn yêu cầu người dùng tạo tài khoản và họ có thể không muốn. Cố gắng đưa càng nhiều chức năng của trang web của bạn vào vương quốc ẩn danh/công khai càng tốt và giới hạn số lượng tương tác yêu cầu tài khoản (ví dụ: bạn không cần có tài khoản để tìm hiểu trên các trang web StackExchange). Hút chúng vào với những điều tốt đẹp trước khi bạn tạo ra một mối quan hệ xác định về chúng.

Một số tình huống mà tôi nghĩ SSO có lợi ích rõ ràng:

  • Bạn đang tích hợp với một trang web hoặc ứng dụng khác. Đây có thể là Google, Twitter hoặc cài đặt LDAP của công ty (nghĩ mạng nội bộ và các ứng dụng rộng rãi của công ty khác).

  • Bạn đang cung cấp nó như là một thay thế cho một tài khoản địa phương. Tôi biết rằng tôi gần như không tạo tài khoản StackOverflow vì SSO, nhưng tôi đã muốn trở thành một phần của trang web đủ tệ để tôi sẵn sàng đầu tư. Sẽ dễ dàng hơn nếu tôi có thể tạo một tài khoản cục bộ và để lại SSO cho những người thích nó.

Và như bạn đã thấy, các phản ứng đối với SSO nói chung là tích cực trên trang web này. Tôi không nghĩ rằng điều này là đáng ngạc nhiên khi bạn xem xét những người sử dụng trang web này:

  • Họ đã mua vào SSO ở một số cấp độ khi họ sử dụng nó để tạo tài khoản trên trang web này.

  • Họ rất có thể có trình độ thành thạo trên trung bình trong việc sử dụng các công nghệ web. Rốt cuộc, họ đang đăng câu trả lời trên trang web Hỏi & Đáp beta về UI.

Chúc mừng.

1
Sam Bisbee

Câu trả lời của tôi khá nhiều đồng ý với những gì ở đây. Tôi muốn nói đặt Twitter và facebook kết nối dưới dạng tùy chọn đăng nhập ở mức tối thiểu. Tôi sẽ đồng ý với việc loại bỏ hoàn toàn tùy chọn Tên người dùng/Mật khẩu (không phải lo lắng về việc đặt lại mật khẩu và tất cả các mumbo jumbo đi kèm với nó là một số đặc quyền tuyệt vời) nhưng luôn có cơ hội "nhẹ" rằng bạn sẽ mất người dùng tiềm năng ai không quen thuộc với nó.

Cá nhân tôi, tôi cảm thấy khó chịu mỗi khi một trang web buộc tôi phải tạo một tổ hợp tên người dùng/mật khẩu khác và đến lúc tôi thực sự tranh luận nếu sử dụng trang web đó có đáng để phiền phức không. Tôi hy vọng điều này sẽ trở nên gần hơn với tiêu chuẩn theo thời gian.

1
Michael Brown

Thương hiệu "OpenID" mang tính công nghệ cao và nếu được trình bày chỉ với hai tùy chọn (OpenID hoặc cục bộ), người dùng có thể sẽ chọn "cục bộ".

Tuy nhiên, hãy nhìn vào Gawker, HuffingtonPost và trang web khổng lồ nghiêm túc khác cần sự tham gia xác thực. Tất cả đều hỗ trợ đăng nhập Facebook, Twitter, v.v. và hầu hết người dùng sử dụng các tùy chọn đó thay vì đăng nhập cục bộ.

Quá trình OpenID/OAuth (đăng nhập trung tâm, xác thực phân tán) được người dùng ưa thích, miễn là bạn không thực sự nói với họ rằng đó là những gì đang xảy ra.

1
Matt