Yo y un amigo estamos buscando lanzar un pequeño sitio de foro. Estoy considerando usar las API de "Iniciar sesión con Facebook / Twitter", posiblemente exclusivamente (como la Lanyrd ), para el inicio de sesión del usuario. No he usado ninguno de estos antes, ni ejecuto un sitio con inicios de sesión de usuario.
¿Cuáles son los pros (y contras) de estas API? Específicamente:
¿Qué beneficios obtengo como desarrollador al usarlos? ¿Qué inconvenientes hay?
¿A los usuarios finales realmente les gusta / no les gusta?
¿Has experimentado problemas técnicos / logísticos con estas API específicamente?
Aquí están los pros y los contras que tengo hasta ahora:
Pros
- Más conveniente para el usuario ("regístrese" con dos clics, inicie sesión con uno)
- Posiblemente no sea necesario mantener nuestro propio sistema de inicio de sesión
Contras
- No hay control sobre nuestro proceso de inicio de sesión
- Excluir a los usuarios de Facebook / Twitter que están preocupados de que tengamos algún tipo de acceso a sus cuentas
- Las cuentas de los usuarios en nuestro sitio se ven comprometidas si sus cuentas de Facebook / Twitter se ven comprometidas.
- Y si no mantenemos nuestro propio sistema de inicio de sesión alternativo:
- Dependencia en Facebook / Twitter para nuestro sistema de inicio de sesión
- Excluir de nuestro sitio a los usuarios que no son de Facebook / no Twitter
user-interface
facebook
twitter
identity
Paul D. Waite
fuente
fuente
Respuestas:
Una desventaja que diría es que un usuario podría estar paranoico de que ahora que ha iniciado sesión en su sitio utilizando sus credenciales de Facebook / Twitter, cree que su sitio tiene acceso completo a toda su información en esas cuentas respectivas.
fuente
Por favor no lo hagas.
Muchas personas, especialmente aquellas que no tienen su sede en los Estados Unidos, no tendrán una cuenta de Facebook y no crearán una que recuerde todo lo que se ha dicho en relación con Facebook y su ignorancia de la privacidad de los usuarios.
Al contrario de lo que muchos creen, hay muchas personas que viven felices sin esos ruidos sociales y sitios basura y les importan un bledo.
¿Por qué escupirlos en la cara y rechazarlos solo porque no han sucumbido a la histeria colectiva llamada Facebook?
Otros puntos a considerar:
Introducirá un único punto de falla al hacerlo dependiente de un sistema externo. Si deciden cerrar su OpenID o hacer que pague por ello, está enormemente jodido.
Recopilarán datos sobre sus usuarios y quién sabe qué hacer con ellos. Por lo menos lo usarán con fines de marketing y finalmente ganarán dinero con él y no le darán un pedazo del pastel.
Al tomarlos como proveedor de OpenID, respaldará aún más su cuasimonopolio y los ayudará a crecer aún más. Haga un servicio comunitario y no contribuya a esa plaga.
fuente
Otra desventaja: excluir usuarios que no son de Facebook y de Twitter (o usuarios que simplemente no se sienten seguros compartiendo su información de inicio de sesión en otros sitios). O causarles inconvenientes al hacer que creen una cuenta externa. Personalmente, no me gusta la idea de un solo punto de falla de que si alguien obtiene mi información de inicio de sesión de Facebook / Twitter, puede ingresar a cualquier otro sitio que use la misma información. Pero tal vez solo soy paranoico.
fuente
Puedo ver que se usa como una opción , pero perderías muchos visitantes potenciales si requieres un inicio de sesión de FB o Twitter. Incluso si los visitantes tienen cuentas FB, muchos no querrán usarlas con fines de privacidad. Ciertamente no quisiera dar información de identificación personal de algún sitio al azar.
Y de todos modos, probablemente necesitará algún tipo de sistema de seguimiento de usuarios, ya que es posible que desee realizar un seguimiento de la información del usuario relacionada con su sitio, como las preferencias.
fuente
Un sitio que frecuenta tiene su propio sistema de inicio de sesión local / cuentas de usuario, pero los usuarios tienen la opción de vincular su cuenta a una cuenta de Facebook si lo desean. Entonces, para aquellas personas, tienen los beneficios de iniciar sesión fácilmente si lo desean, y nadie se ve obligado a usar un inicio de sesión de Facebook si no lo desean. Funciona bastante bien, diría.
fuente
Jugué con el uso de OpenID, Facebook y Twitter para iniciar sesión. Una vez lo estaba probando y no pude iniciar sesión usando Facebook por alguna razón. Después de mirar la página de desarrollador de Facebook, noté que su servidor API estaba caído. Entonces, ese es un gran inconveniente cuando los usuarios no pueden iniciar sesión porque Facebook está teniendo algún tiempo de inactividad. Twitter podría tener los mismos problemas, al igual que OpenID.
fuente
Realmente depende de cuál es su mercado objetivo. Por ejemplo, en algunos mercados objetivo, esa preocupación de "excluir a los no usuarios" es muy pequeña (casi todos los usuarios los tienen y están felices de compartir). En otros, es un problema masivo.
Puede verlo aquí en las respuestas: los programadores tienden a ser muy cuidadosos con la seguridad y no quieren dar acceso, de ahí todo el "¡NO!" respuestas :-p Las personas no técnicas son menos cuidadosas con esto.
Pero la respuesta obvia es hacer tanto fb / twitter como tu propio sistema si puedes. Entonces todos están felices.
fuente
Tengo una cuenta de Facebook, pero cuando me enfrento a un sitio que quiere que inicie sesión con ella, no la tengo. Si hay un método alternativo lo usaré. Si no, no quiero ver qué hay en ese sitio de todos modos. Odio ir a sitios y ver lo que otros amigos de Facebook han hecho también en ese sitio, es espeluznante e intrusivo de su privacidad (especialmente cuando no inicié sesión a través de Facebook o le dije al sitio mi cuenta de Facebook).
fuente
Una desventaja es hacerlo de esa manera: ¿cómo se prueba localmente sin dependencias externas complejas? ¿Cómo se configuran las cuentas de prueba aleatorias? Cuentas demo? ¿Cuentas de usuario no humanas? Por lo general, necesita un esquema de autenticación local para cubrir estas permutaciones, incluso si la esperanza es que la mayoría de los usuarios almacenen credenciales externamente.
Lo más importante: si no tiene una conexión a Internet, ni siquiera puede hackear, y mucho menos hacer trabajo material, en su aplicación. Y, si tiene errores en la autenticación o autorización, ¿cómo puede estar seguro de que no es un problema de Facebook / Twitter / otro si no puede ejecutar algo simple y local para asegurarse de que su código sea correcto?
fuente
Diría que el uso de un sistema de inicio de sesión externo puede funcionar muy bien. Observe cómo usamos openID en stackoverflow y stackexchange. La ventaja es excelente: no tiene que codificar todo el sistema de inicio de sesión, que es una gran parte de la base de código inicial que simplemente puede ignorar, y no tiene la posibilidad de equivocarse, y puede dejar que alguien más se preocupe acerca de qué tipo de contraseña es suficiente y cómo restablecerla, etc. Y si ya tienen un openid en algún lugar (ya sea desde una cuenta de blogging o uno que configuraron para acceder al stackoverflow), no necesitan recordar otra combinación de nombre de usuario / contraseña.
Las desventajas son que muchos usuarios lo encuentran un poco confuso y es posible que no quieran crear un openid en un sitio externo si aún no lo han usado.
El uso de un inicio de sesión de Facebook tiene todos esos beneficios, además de la oportunidad de interactuar con su cuenta de Facebook si lo permiten.
La desventaja es que si confía exclusivamente en Facebook, se está vinculando a ellos: si Facebook alguna vez cambia su API o prohíbe su sitio, o usuarios como yo se niegan a iniciar sesión en un sitio que puede compartir datos de Facebook (que son se sabe que no es muy cauteloso cuando se trata de no filtrar esos datos a otras compañías). Tenga en cuenta que IIRC, incluso si tiene un enlace de "me gusta" o "inicio de sesión" en su página en Facebook, permitirá que Facebook rastree qué usuarios registrados ven su sitio, haciendo doble clic.
Entonces, yo diría:
fuente
Por lo menos, desconfío de los líderes de las redes sociales, y especialmente de Facebook por su desprecio liberal por el intercambio de información electiva. Esta desconfianza tiene un factor compuesto de que la gran mayoría de las aplicaciones con las que me he encontrado solicitan toda mi información y luego información sobre todas las personas que conozco para participar en el contexto de su aplicación. Camelo. Las entrevistas de autorización de seguridad del gobierno solicitan mucha información como la mayoría esperaría, pero ni siquiera se acercan a lo que "exige" el FB. Tengo una cuenta, pero su stock, solo se usa para las funciones principales.
Dicho esto, me gusta la identificación federada en concepto y práctica (como openid y open auth en general). Creo que es difícil discutir el uso de los proveedores compatibles con los principales proveedores de correo web desde la perspectiva del usuario, por un par de razones. Uno, los beneficios obvios de la identificación federada (como menos pares de información de inicio de sesión para recordar o administrar de otro modo con otra aplicación o complemento de la tienda de información de inicio de sesión local). En segundo lugar, confío en que mi proveedor de correo electrónico haga un trabajo bastante bueno para proteger mi información personal (y, en consecuencia, mi bandeja de entrada) siempre y cuando cumpla con mi parte de proteger mis credenciales (fortaleza del nombre de usuario / contraseña y controlar juiciosamente la exposición).
Podría considerar otros proveedores de identificación federada, pero tendrían que ser convincentes, para el propósito de la identificación federada.
Por último, integrar una multitud de proveedores no es necesariamente fácil. El equipo de stackexchange ha comentado sobre los desafíos hace un tiempo. Si no estuviera en un dispositivo móvil, te buscaría.
fuente
Meh, aparentemente estoy en otro campamento. Para mí, el concepto de Facebook es uno que resistirá la prueba del tiempo. Quizás no sea Facebook en el futuro, quién sabe. Sin embargo, yendo más allá de las preocupaciones del teórico de la conspiración de la privacidad (puede controlar su privacidad), mi opinión es que este tipo de servicio se convertirá en "utilidad". En el caso de que descuelgue su teléfono para llamar a alguien, saldrá corriendo a su buzón para tomar el correo ... "Facebook" enviará a sus amigos para ponerse en contacto.
Ya estamos experimentando una reducción significativa del tráfico de correo electrónico ahora que las personas se "Facebook" entre sí. Es solo cuestión de tiempo, pero el correo electrónico continuará disminuyendo en uso.
Además, tenga en cuenta que los tipos de personas que desea iniciar sesión en su sistema pueden ser los tipos que tendrían una cuenta de Facebook. Los que no lo hacen, por lo general (según mi experiencia), no van a "participar" en su sitio de todos modos (o en cualquier otro sitio, de hecho).
El hecho es que, sea Facebook o no, un sistema en el que todos puedan comunicarse instantáneamente con las personas que aprueben será el mejor candidato para un sistema de "inicio de sesión único" en Internet. No puede simplemente descartar "registro de 2 clics e inicio de sesión sin clic / 1 clic" como pequeños profesionales, ¡son ENORMES!
Para las personas preocupadas por la privacidad, ¿qué están publicando en su perfil de Facebook que podrían ser perjudiciales si se toman? ¿Por qué lo pones ahí?
Mi voto (por lo que vale) es ¡adelante! Vuélvete loco, reemplaza por completo tu sistema de membresía con un sistema exclusivo de Facebook. Tengo, y a mis usuarios les gusta hasta ahora .
fuente