Які плюси (і мінуси) використання "Увійти через Twitter / Facebook" для нового веб-сайту? [зачинено]

Я та друг прагнуть запустити невеликий сайт форуму. Я розглядаю можливість використання API "Увійти за допомогою Facebook / Twitter", можливо, виключно (а, наприклад, Lanyrd ) для входу користувача. Я раніше не використовував жодного з них, а також не запускав сайт із входами користувачів.

Які плюси (і мінуси) цих API? Конкретно:

1. Які переваги я отримую як розробник від їх використання? Які недоліки є?

2. Чи справді кінцевим користувачам подобаються / не подобаються?

3. Чи відчували ви якісь технічні / логістичні проблеми з цими API?

Ось плюси і мінуси, які я отримав до цих пір:

Плюси

• Зручніше для користувача ("зареєструйтесь" двома клацаннями, увійдіть одним)
• Можливо, не потрібно підтримувати власну систему входу

 Мінуси

• Немає контролю за нашим процесом входу
• Виключіть користувачів Facebook / Twitter, які турбуються про те, щоб ми мали певний доступ до своїх облікових записів
• Облікові записи користувачів на нашому веб-сайті ставлять під загрозу, якщо їхні облікові записи Facebook / Twitter порушені.
• І якщо ми не підтримуємо власну альтернативну систему входу:
  • Залежність у Facebook / Twitter від нашої системи входу
  • Виключіть користувачів із нашого веб-сайту, які не належать до Facebook / інших користувачів

Я можу сказати, що користувач може бути параноїком, що тепер він увійшов на ваш сайт за допомогою своїх облікових даних Facebook / Twitter, вони вважають, що ваш сайт має повний доступ до всієї їх інформації у відповідних облікових записах.

Будь ласка, не робіть цього.

Багато людей, особливо ті, що не знаходяться в США, не матимуть облікового запису Facebook і не створюватимуть запам’ятовування всього, що було сказано стосовно Facebook та його незнання про конфіденційність користувачів.

Всупереч тому, у що багато хто вірить, є багато людей, які щасливо живуть без цих соціальних шумів і сміття, і не гребують ними.

Навіщо плювати їм в обличчя і відхиляти їх лише тому, що вони не піддалися масовій істерії під назвою Facebook?

Інші моменти, які слід врахувати:

1. Ви введете єдину точку відмови, зробивши її залежною від зовнішньої системи. Якщо вони вирішать вимкнути свій OpenID або змусити вас заплатити за нього, ви масово накрутитеся.

2. Вони зберуть дані про ваших користувачів і хто знає, що з цим робити. Принаймні, вони використовуватимуть його в маркетингових цілях і в кінцевому підсумку зароблять на ньому гроші, і вони не дадуть вам шматочка пирога.

3. Взявши їх за постачальника OpenID, ви надалі підтримаєте їх квазімонополію та допоможете їм ще більше зростати. Робіть комунальну службу і не сприяйте цій чумі.

Ще одне заперечення: виключіть користувачів, які не користуються фейсбуком та користувачами, які не користуються щебетанням (або користувачів, які просто не відчувають себе безпечно ділитися своєю інформацією про вхід на інші сайти). Або заподіяти їм незручності, змусивши їх створити зовнішній рахунок. Мені особисто не подобається єдина думка про відмову, що якщо хтось отримає мою інформацію про вхід у Facebook / Twitter, він може потрапити на будь-який інший сайт, який використовує ту саму інформацію. Але, можливо, я просто параноїк.

Я бачу, що він використовується як варіант , але ви втратите чимало потенційних відвідувачів, якби вам знадобилося вхід у FB або Twitter. Навіть якщо відвідувачі мають акаунти на ФБ, багато хто не хоче використовувати їх у цілях конфіденційності. Я, звичайно, не хотів би дати деякий випадковий сайт, що особисто ідентифікує інформацію.

І вам все одно потрібна якась форма системи відстеження користувачів у будь-якому випадку, оскільки ви, можливо, захочете відслідковувати інформацію про користувачів, пов’язану з вашим сайтом, наприклад налаштування.

Сайт я часто має свої власні облікові записи системи / користувачів локального входу в систему , але користувачі мають можливість пов'язання їх рахунки на рахунок Facebook , якщо вони побажають. Тож для тих людей вони мають переваги простого входу в систему, якщо вони вирішили, і ніхто не змушений використовувати логін у Facebook, якщо вони цього не хочуть. Це працює досить добре, я б сказав.

Я розігрувався з використанням OpenID, Facebook та Twitter для входу. Один раз я лише тестував це, і я не міг чомусь увійти, використовуючи Facebook. Переглянувши сторінку розробника Facebook, я помітив, що їх сервер API не працює. Тож це великий недолік, коли користувачі не можуть увійти в систему, оскільки Facebook має певний час простою. У Twitter можуть бути ті самі проблеми, що і у OpenID.

Це дійсно залежить від того, який ваш цільовий ринок Наприклад, на деяких цільових ринках занепокоєння, що "виключає не користувачів", є крихітним (майже всі користувачі їх мають і раді поділитися). В інших - це масивна проблема.

Ви можете побачити це тут у відповідях: Програмісти, як правило, дуже обережні з безпекою і не хочуть надавати доступ, отже, все "НЕ!" відповіді :-p Нетехнічні люди менш обережні з цього приводу.

Але очевидною відповіддю є робити fb / twitter та власну систему, якщо можете. Тоді всі радіють.

У мене є обліковий запис Facebook, але коли я стикаюся з сайтом, який хоче, щоб я ввійшов, використовуючи його, я цього не роблю. Якщо є альтернативний метод, я його використовуватиму. Якщо ні, то я дуже не хочу бачити, що на цьому сайті. Я ненавиджу відвідувати сайти і бачити, що робили інші друзі Facebook на цьому веб-сайті, це моторошно і нав'язливо для вашої конфіденційності (особливо, коли я не входив через Facebook або розповідав про свій обліковий запис у Facebook).

Один із варіантів робити це саме таким чином - як ви протестуєте локально без складних зовнішніх залежностей? Як налаштувати випадкові тестові рахунки? Демо-рахунки? Облікові записи інших користувачів? Зазвичай вам потрібна локальна схема аутентифікації для покриття цих перестановок, навіть якщо надія більшість користувачів зберігає облікові дані зовні.

Найголовніше - якщо у вас немає підключення до Інтернету, ви навіть не можете зламати, а тим більше робити матеріальну роботу у вашому додатку. І якщо у вас є помилки в аутентифікації або авторизації, як ви можете бути впевнені, що це не проблема у facebook / twitter / інший oauth, якщо ви не можете запустити щось просте та локальне, щоб переконатися, що ваш код правильний?

Я б сказав, що використання зовнішньої системи входу може працювати дуже добре - подивіться, наскільки openID ми використовували для stackoverflow та stackexchange. Перевага велика: вам не доведеться кодувати всю систему входу, що є великим відрізком від початкової бази кодів, яку ви можете просто проігнорувати, і ви не маєте шансів помилитися, і може дозволити іншому перейматися тим, який тип пароля достатній, і як його скинути тощо. І якщо у них вже є десь відкритий (або з облікового запису блогів, або такий, який вони встановили для доступу до stackoverflow), їм не потрібно запам’ятовувати інше ім'я користувача / пароля.

Недоліки полягають у тому, що багато користувачів вважають це дещо заплутаним і можуть не захотіти створювати openid на зовнішньому сайті, якщо він ще не використовував його.

Використання входу в facebook має всі ці переваги, а також можливість взаємодіяти з їх обліковим записом у Facebook, якщо вони дозволяють.

Мінус полягає в тому, що якщо ви покладаєтесь виключно на facebook, ви прив’язуєте себе до них: якщо фейсбук коли-небудь змінить свій API або заборонить ваш сайт, або користувачі, такі як я, відмовляються входити на сайт, який може ділитися даними facebook (хто такі відомо, що вони не дуже обережні, коли мова не йде про те, щоб не передавати ці дані іншим компаніям). Зауважте, що IIRC, навіть маючи на своїй сторінці посилання "на кшталт" або "вхід" у facebook, дозволить фейсбуку відстежувати, хто користувачі, які ввійшли в систему, переглядають ваш сайт, a la doubleclick.

Отже, я б сказав:

• в ідеалі ви б дозволяли входити з кількома зовнішніми сайтами: openID-сайтами, facebook, google тощо.
• якщо у вас є форма для входу у фейсбук, ви не розміщуєте її прямо на першій сторінці, показуйте її лише тоді, коли користувачі натискають «увійти через facebook» (я ніколи не буду скаржитися на можливість цього зробити :)) .
• Для початку вирішіть, що вам найшвидше налаштувати, акаунти та паролі, або openID чи щось інше.
• Вирішіть, чи варто додавати облікові записи та паролі, чи ні, якщо у вас є зовнішній вхід. (Але обов'язково мати принаймні пару зовнішніх входів)

Я, як мінімум, насторожено ставляться до хедлайнерів соціальних медіа, і особливо до Facebook за їх ліберальне зневага до виборчого обміну інформацією. Ця недовіра має складний фактор, що, здавалося б, переважна більшість програм, з якими я стикався, вимагають усієї моєї інформації, а потім інформацію про всіх, кого я знаю, для участі у їхньому контексті додатків. Балоні. Урядові інтерв'ю з питань безпеки вимагають багато інформації, як очікували більшість, але навіть не підходять до того, що "вимагає" ФБ. У мене є обліковий запис, але його запас, який використовується лише для основних функцій.

Це, як кажуть, мені подобається об'єднаний Id в концепції та практиці (як відкритий та відкритий auth взагалі). Я думаю, що з використанням постачальників, підтримуваних основними постачальниками веб-пошти, важко сперечатися з точки зору користувача з кількох причин. Одне, очевидні переваги об'єднаного ідентифікатора (наприклад, менше пар інформації для входу для запам'ятовування або іншим способом керування за допомогою іншого локального додатка або додатка для зберігання інформації для входу). По-друге, я довіряю своєму провайдеру електронної пошти зробити досить гарну роботу з охорони моєї особистої інформації (а, отже, і моєї вхідної пошти), доки я виконую свою частину захисту своїх облікових даних (міцність імені користувача / пароля та розумного контролю експозиції).

Я можу вважати інших постачальників об'єднаних ідентифікаторів, але вони повинні бути переконливими для цілей Federated Id.

Нарешті, інтегрувати безліч постачальників не обов'язково просто. Команда stackexchange прокоментувала виклики певний час тому. Якби я не був на мобільному пристрої, я б шукав вас.

Мех, мабуть, я в іншому таборі. Для мене концепція Facebook - це те, що витримає випробування часом. Можливо, це не буде Facebook у майбутньому, хто знає. Однак, виходячи за межі проблем теоретиків конспірації (ви можете контролювати свою конфіденційність), на мою думку, такий вид послуг стане «корисним». Коли ви забираєте телефон, щоб когось зателефонувати, ви вибігаєте до своєї поштової скриньки, щоб забрати пошту ... ви "Facebook" будете своїми друзями, щоб зв’язатися.

Ми вже відчуваємо значно скорочений трафік електронної пошти зараз, коли люди замість цього "Facebook". Це лише питання часу, але електронна пошта надалі зменшиться у використанні.

Також майте на увазі, що типи людей, яких ви хочете увійти у вашу систему, цілком можуть бути типи, які мали б обліковий запис Facebook. Ті, хто, як правило, (з мого досвіду), все одно не збираються "брати участь" на вашому веб-сайті (або на будь-якому сайті).

Справа в тому, що це фейсбук чи ні, система, в якій кожен може миттєво спілкуватися з людьми, яких схвалює, стане найкращим кандидатом в Інтернет-системі "єдиний знак". Ви не можете просто відхилити "реєстрацію в 2 кліки та реєстрацію без натискання / 1 клік" як невеликі плюси, вони ВЕЛИЧЕЗНІ!

Для людей, які турбуються про конфіденційність, що ви розміщуєте там у своєму профілі у Facebook, що може спричинити шкоду, якщо взяти його? Чому ви його виставляєте там?

Мій голос (за що це варто) - за нього! Займіться багном, повністю замініть свою систему членства системою лише у Facebook. У мене є, і моїм користувачам це подобається досі .