15 марта 2017

Да-да, войдите!

Андрей Касьяненко, основатель портала Minuvalik  

Если у вас есть сайт, то рано или поздно вам придется решать вопрос авторизации пользователей на нем. И выбирать из трех вариантов: аутентификации по персональному коду, адресу электронной почты или телефону. У каждого из этих способов есть как свои преимущества, так и недостатки.

Идентификация по персональному коду реализована в Эстонии путем сверки сертификата с использованием ID-карты, MobileID, а с недавнего времени и SmartID. Для всех трех вариантов существуют готовые решения от разработчиков, размещенные на id.ee.

Преимущество этого способа — 100% установка личности пользователя. Из числа существенных недостатков — вы не получите ни email, ни телефон клиента. Кроме того, клиенты будут ограничены владельцами эстонского персонального кода; жители других государств воспользоваться этим решением не смогут.

Пользуясь случаем хочу сделать пару замечаний по поводу SmartID: услуга новая, требует времени для установки и привыкания. Несмотря на единый стандарт и то, что она будет акцептоваться на территории всего ЕС, на сегодняшний день нет возможности использовать ее с персональным кодом Эстонии, скажем, в соседней Латвии. Но потенциал имеется: в скором времени смартфоны станут использовать виртуальную (а не физическую) SIM-карту, поэтому неизбежна замена MobileID на новое технологическое решение. Это первый момент. И второй: с каждым днем растет число мобильных пользователей, прежде всего смартфонов, аутентификация по персональному коду с которых возможна только через MobileID, а теперь еще и SmartID.

Идентификация по телефонуреализуется посредством отправки проверочного SMS на телефон. Для этого, например, можно использовать сервис fortumo.com — он родом из Эстонии, но позиционируется как международный, имея достаточную известность во всем мире. Есть и другие готовые решения: изобретать велосипед не придется.

Преимущество — 100% определение принадлежности телефонного номера, никаких территориальных ограничений. Недостатки — плата за услугу (от нескольких центов за верификацию) и отсутствие другой информации о пользователе.

Идентификация по email – самый простой способ, к тому же бесплатный. В последнее время все чаще используемый в связке с аутентификацией через социальные сети, через которые можно получить о пользователе массу дополнительной информации.

Из недостатков отмечу лишь один: пользователь может обладать десятком адресов и в ряде случаев создавать их для однократного пользования услугой. Несмотря на простоту верификации по email, подавляющее число сайтов — с этой же целью — использует протокол OAuth, и тому есть веские основания.

Идентификация через соцсети (OAuth) – самый универсальный способ авторизации пользователя. В интернете можно найти немало готовых решений, использующих данный протокол для взаимодействия с facebook, twitter, vk, google и прочими социальными сетями. Его же используем и мы: за последние пару лет число клиентов, авторизующихся на minuvalik.ee через соцсети, увеличилось почти в три раза.

Работает это так: клиент заходит к вам на сайт, нажимает на «вход», затем иконку привычной ему социальной сети. В результате происходит переадресация, скажем, на facebook, где единовременно (в первый раз) будет сделан запрос на разрешение передачи такому-то сайту ряда данных (как правило email, имени пользователя и ссылки на его профиль в сети). Подтвердив действие клиент возвращается на ваш сайт, а сайт, получив данные из соцсети и условное «адрес name@email.com проверен и действителен», подтверждает использование сервисов от лица данного клиента.

Таким образом вы получаете не только проверенный email для коммуникации с пользователем, но и прочие данные, включая его местоположение. Недостатков у этого способа практически нет: он универсален и бесплатен. Единственный минус — ситуация, когда пользователь не пользуется ни одной из предложенных соцсетей.

Подытоживая сказанное замечу, что оптимальным решением для вашего сайта станет использование OAuth с опционной верификацией по email. Этот способ удовлетворит потребности 99% всех ныне существующих ресурсов, а оставшийся 1% — удел узкопрофильных специалистов. Есть вопросы, предложения, замечания? Оставьте их в комментариях к этой записи. Или пишите на andrei@minuvalik.ee

Autor: Андрей Касьяненко, основатель портала Minuvalik

Самое читаемое