Вход в личный кабинет Аутентификация на основе токенов
Аутентификация на основе токенов в последние годы стала очень популярна из-за распространения одностраничных приложений, веб-API и интернета вещей. Чаще всего в качестве токенов используются Json Web Tokens (JWT). Хотя реализации бывают разные, но токены JWT превратились в стандарт де-факто.
При аутентификации на основе токенов состояния не отслеживаются. Мы не будем хранить информацию о пользователе на сервере или в сессии и даже не будем хранить JWT, использованные для клиентов.
Процедура аутентификации на основе токенов:
Обязательная регистрация отталкивает 86% пользователей
Согласно результатам исследования компании WebHostingBuzz, обязательная регистрация не только отталкивает пользователя от совершения конверсии на всех ее этапах, но и вызывает у них утомление от паролей — чувство раздражения и усталости, возникающее из-за потребности запоминать огромное количество паролей от различных online-аккаунтов.
77% пользователей находят социальную авторизацию хорошей альтернативой регистрации
Использование социальных медиа для входа на сайт позволяет людям выполнить авторизацию всего за несколько действий и не доставит им практически никаких неудобств.
Но наличие social login приносит положительные результаты далеко не всем компаниям, поскольку многое зависит от ниши бизнеса и возраста target group конкретного оффера.
Данные статистики свидетельствуют о том, что online-потребители среднего и старшего возраста не склонны использовать профили социальных медиа для входа на сайты.
Четко прослеживается тенденция: чем старше пользователь, тем больше он беспокоится за свою личную информацию, поэтому стандартная регистрация на веб-сайте кажется ему более безопасным вариантом авторизации.
Сфера деятельности бизнеса тоже имеет значение: согласно результатам использования социальной авторизации, B2C-компании получают от опции входа через социальные платформы больше пользы, чем B2B-организации.
Так, например, лишь 3.4% клиентов популярного сервиса электронной рассылки MailChimp, работающего в B2B-секторе, использовали социальные медиа для авторизации.
Несмотря на то, что количество ошибок при входе на сайт снизилось на 66%, MailChimp убрали вариант социальной авторизации, оставив лишь опцию стандартного создания аккаунта.
Бизнес B2C-сектора Easytobook, предоставляющий услуги бронирования отелей, увеличил показатель активности своих клиентов на впечатляющие 68% после внедрения опции социальной авторизации.
88% клиентов предоставляют неправильные данные при регистрации
Исследование, проведенное компанией Harris Interactive & Janrin в 2022 году, показало, что 74% потребителей сильно раздражаются, когда показанные им рекомендации на сайте совершенно не совпадают с их интересами. Но как же маркетологи могут персонализировать рекомендации и улучшить клиентский опыт, если всего 12% пользователей заполняют формы отзывов правильно?
Анализируя данные регистрационных форм, компании рискуют получить неправильную информацию о целевой аудитории. Кроме того, длинные и запутанные лид-формы раздражают клиентов, поэтому не рекомендуется использовать больше 5 полей: каждое лишнее снижает показатель конверсии в лид на 17%.
На картинке показано, как устранение лишних полей формы увеличило показатель конверсии с 5.4% (Before) до 11.9% (After)
Для верификации пользовательских данных многие компании либо отправляют пользователям электронное письмо с ссылкой для подтверждения регистрации, либо используют различные программы, определяющие неправильные даты рождения и email-адреса.
Правильная информация о целевой аудитории критически важна для развития бизнеса, и авторизация через Одноклассники и другие социальные сети — это отличный способ получить точные пользовательские данные.
На изображении отмечены пользовательские данные, которые маркетологи могут получить из различных социальных сетей.
Важно отметить, что поток информации в социальных сетях огромен, и поэтому данные, полученные посредством социальной авторизации, не всегда предельно точны. Их правильность во многом зависит от программного обеспечения, которое используется для сбора и анализа данных из профилей пользователей.
100% респондентов получали неправильные рекомендации и не соответствующие их интересам промоакции
Очевидно, что женщина, получившая скидку на мужские спортивные костюмы, и мужчина, приглашенный на бесплатную депиляцию в зоне бикини, будут очень раздраженны подобными предложениями.
Наилучший способ избежать подобных ошибок — разрабатывать персонализированные маркетинговые компании на основе точной информации о потенциальных клиентах, размещенной ими на своих профилях в социальных сетях.
Социальная аналитика предоставляет очень личные клиентские данные, а веб-аналитика — статистику сайта
Подавляющему большинству потребителей нравится получать персонализированный контент от бизнеса: это укрепляет их связь с брендом и увеличивает симпатию к нему. Но некоторых людей пугает факт того, что компании располагают столь точной информацией о них.
Чтобы удовлетворить покупателей с разными потребностями и убеждениями, предоставляйте им возможность выбирать между двумя вариантами авторизации: созданием аккаунта и входом через профиль социальной сети. Таким образом, клиенты смогут самостоятельно решать, насколько много информации о себе они готовы предоставить.
78% людей распространяют информацию о понравившемся им товаре/сервисе в социальных сетях
Помимо формы авторизации, не стоит также забывать о пользе кнопок для распространения информации в социальных сетях.
Более точная информации = правильные маркетинговые решения
«Святой Грааль маркетинга: получать выгоды от каждого потенциального покупателя, определяя наиболее склонных к покупке потребителей и влияя на восприятие людей, склонных к отказу от сделки»— Доктор Эрик Сигел (Dr. Eric Siegel).
Анализ достоверной клиентской информации дает маркетологам возможность наиболее точно удовлетворять потребности целевой аудитории, следить за популярными среди потребителей трендами и предсказывать их влияние на спрос продукта в будущем.
Компания сможет создать наиболее эффективную бизнес-модель, и оправдание «мы просто не знаем, чего хотят наши покупатели» уже не будет актуальным.
Но основная проблема половины интернет-предпринимателей заключается не в том, что они не знают своих потенциальных клиентов, а в том, что они вовсе не стремятся их узнать.
Компания Pivot провела два опроса, респондентами которых были SMM-специалисты.
В первом исследовании маркетологам задали вопрос о том, спрашивают ли они у своих подписчиков, какую выгоды они хотят получить от связи с брендом в социальных медиа: положительно на этот вопрос ответили 34.8% специалистов, большая часть респондентов (53%) дала отрицательный ответ, а 12.2% онлайн-маркетологов и вовсе не знали, что ответить.
Результаты второго опроса показали, что интернет-маркетологи совершенно ничего не знают о предпочтениях своей целевой аудитории: большинство специалистов считает качественное обслуживание приоритетом своих клиентов, но для потребителей этот аспект наименее важен.
На самом деле покупателей больше всего интересуют уникальные скидки и акции, которые маркетологи поставили лишь на четвертое по важности место.
Социальные медиа дают возможность проводить разнообразные опросы и получать отзывы покупателей, на основе которых можно создать наиболее действенную маркетинговую компанию и стратегию по удержанию клиентов. Не пользуясь такими преимуществами, специалисты упускают огромные выгоды социального маркетинга.
82% людей склонны купить товар по рекомендации в социальных медиа
Что может принести больше продаж, чем «сарафанное радио» (Word-of-mouth marketing, «маркетинг из уст в уста»)? Наверное, каждый маркетолог мечтает о том, чтобы потребители активно делились информацией о продукции его компании со своими друзьями в социальных сетях.
Привлечение новых покупателей посредством рекомендаций постоянных клиентов не только обходится бизнесу намного дешевле, но и увеличивает его ROI.
Сегментация целевой аудитории в социальных сетях:
- интересы;
- «лайки»;
- возраст и пол;
- социальная платформа, которой пользуется клиент;
- влиятельность;
- количество друзей и подписчиков.
Использование социальной авторизации на сайте позволяет пойти на шаг дальше, предоставляя пользователям возможность приглашать своих друзей из социальных медиа к посещению сайта или к ознакомлению с интересным контентом. Подобный реферальный маркетинг приносит компаниям столько новых клиентов, сколько не найдет команда даже самых талантливых маркетологов.
Но, активно взаимодействуя с потребителями в социальных сетях, бизнес привлекает к себе внимание огромной аудитории, поэтому о некачественном обслуживании и проблемах с товаром могут узнать сотни тысяч людей.
Возьмем, к примеру, случай, произошедший с клиентом авиакомпании United Airlines, на глазах у которого работники аэропорта разбили его гитару. Просьбы музыканта возместить ущерб и угрозы снять музыкальное видео про ужасный сервис авиакомпании были проигнорированы всеми представителями United Airlines, о чем они впоследствии сильно пожалели.
Забавный видеоролик стал вирусным, собрав более 14 000 000 просмотров на You Tube. Но пострадавший не остановился: музыкант записал еще одну песню, выпустил книгу, создал сайт для сбора жалоб недовольных клиентов различных компаний и в настоящее время записывает третью песню.
United Airlines возместили музыканту ущерб, но вернуть себе положительную репутацию им вряд ли удастся.
Предоставляйте своим клиентам наилучший сервис, чтобы вирусный контент о вашем бизнесе был исключительно положительного характера.
Новое поколение социального взаимодействия
«У нас нет выбора, использовать социальный маркетинг или нет. От нас зависит лишь то, насколько хорошо мы будем его использовать»— Эрик Квалман (Erik Qualman).
Чтобы удерживать свои позиции на рынке и развиваться, бизнес должен адаптироваться к изменениям потребностей своих покупателей и прогнозировать возможные варианты изменения спроса в будущем. Всем известные Nokia и Blackberry, например, в свое время не последовали популярным тенденциям мобильного рынка, что стоило им потери лидерства в своей нише.
Ожидаемые убытки Blackberry во второй четверти 2022 года — $ 995 000 000
Множество маркетологов считает, что социальные медиа — это лишь временный тренд, популярность и эффективность которого со временем упадет. По словам одного из ведущих экспертов online-маркетинга Пратика Дхолокии (Pratik Dholokiya), снижение активности пользования социальными сетями гражданами США и Великобритании является первым сигналом того, что SMM-маркетинг вскоре потеряет свою действенность.
Пратик считает, что опасения за свою безопасность и всеобщая доступность персональной информации станут основными причинами отказа людей от пользования социальными платформами. Будучи скептиком, маркетолог все же не призывает полностью отказываться от социального маркетинга, акцентируя внимание, что его эффективность зависит исключительно от ниши бизнеса.
«Вы можете сегментировать свою целевую аудиторию по интересам и коммерческим намерениям, поэтому вместо того, чтобы пытаться удовлетворить абсолютного всех, сконцентрируйтесь на своих потенциальных покупателях и маркетинговой нише».
1. Перейдите по ссылке и примите условия пользования.
2. Создайте новый проект:
3. Введите в поиске “API” и перейдите в раздел “APIs & Services”:
4. Включите API и сервисы:
Joomla
Модулей авторизации довольно много, а работа с ними одинаковая: установить модуль, зарегистрировать специальное приложение в соцсети и получить ключи, как мы писали в примерах с ВКонтакте и Фейсбуком*, добавить эти данные в настройки модуля и опубликовать.
Модули можно найти в разделе Расширения — Менеджер расширений. Например:
Opencart
Для OpenCart тоже есть модули, к примеру:
Phpixie social — простая интеграция с соцсетями
Авторизация через соцсети это одна из самих частых задач с которыми сталкиваются разработчики развлекательных сайтов. Казалось бы там и делать нечего, ведь для каждого API существует PHP библиотека от самого вендора. Но что делать если надо подключить сразу несколько? Не хочется тянуть в проект кучу библиотек которые имплементируют один и тот же протокол OAuth, к тому же хотелось бы иметь какой-то единый интерфейс. PHPixie Social — маленькая библиотека с только одной зависимостью, которая позволяет легко работать сразу с Facebook, Twitter, Google и Вконтакте, а если вы используете PHPixie фреймворк то также сразу получаете авторизацию всего в несколько строчек кода.
Но сначала рассмотрим компонент сам по себе.
Конфигурация
<?php
$config = array(
// Имена провайдеров могут быть произвольными,
// но для простоты примера имя я взял с типа API
'facebook' => array(
'type' => 'facebook',
'appId' => '',
'appSecret' => '',
// опционально права которые запросить у пользователя,
'scope' => array(),
// опционально версия API
'apiVersion' => '2.3'
),
'twitter' => array(
'type' => 'twitter',
// Twitter работает через OAuth 1.0a
// поэтому поля отличаются
'consumerKey' => '',
'consumerSecret' => ''
),
'google' => array(
'type' => 'google',
'appId' => '',
'appSecret' => '',
// опционально
'scope' => array(),
'apiVersion' => '2.3'
),
'vk' => array(
'type' => 'vk',
'appId' => '',
'appSecret' => '',
// опционально
'scope' => array(),
'apiVersion' => '2.3'
),
);
Инициализация
// та единственная зависимость
$slice = new PHPixieSlice();
$config = $slice->arrayData($config);
$social = new PHPixieSocial($config);
Авторизация пользователя
Итак первое что нам надо сделать это запросить у пользователя авторизацию, для этого нам понадобится придумать какую-то ссылку куда API пришлет нам токен доступа. Тогда мы перенаправляем пользователя на страницу авторизации. Вот простой пример:
$callbackUrl = 'http://localhost.com/callback=1';
if(!isset($_GET['callback'])) {
//Если параметра нет, далаем редирект
$loginUrl = $social->get('facebook')->loginUrl($callbackUrl);
header('Location: '.$loginUrl);
} else {
// Если параметр есть, значит это к нам пришел ответ от API,
// с ним придет еще много параметров которые Social обработает сам.
// Заметьте, что значение $callbackUrl тут тоже нужно
$socialUser = $social->get('faceebook')->handleCallback($callbackUrl, $_GET);
if($socialUser === null) {
// Пользователь отклонил авторизацию
echo "You didn't authorize our app";
}else{
// Запрос к API от имени пользователя
var_dump($socialUser->get('me'));
}
}
Объект пользователя
$socialUser->id(); // ID пользователя в соцсети
// Дополнительная информация доступна после логина
$socialUser->loginData();
// GET Запрос
$socialUser->get('some/endpoint', $queryParams = array());
// POST Запрос
$socialUser->post('some/endpoint', $data = array(), $queryParams = array());
// Произвольный запрос
$socialUser->api('PUT', 'some/endpoint', $queryParams = array(), $data = array());
// Токен авторизации,
// его можно сериализировать и сохранить
// в сессии или в базе
$token = $social->token();
// Получить пользователя по токену
$socialUser = $social->get('facebook')->user($token);
// Кстати запросы можно делать сразу с токеном
$social->get('facebook')->get($token, 'some/endpoint', $queryParams = array());
$social->get('facebook')->post($token, 'some/endpoint', $data = array(), $queryParams = array());
$social->get('facebook')->api($token, 'PUT', 'some/endpoint', $queryParams = array(), $data = array());
Интеграция с фреймворком
В фреймворке по умолчанию доступен плагин к модулю авторизации, который обрабатывает логин пользователя и легко включается в его конфигурации. Те кто уже работает с фреймворком не найдут в этом ничего сложного, так что в этот раз вместо описания я оставлю ссылку на демо проект: https://github.com/phpixie/demo-socialauth
В нем пользователь сам выбирает через какую сеть авторизоваться. Если он зашел впервые, ему сразу-же создастся запись в табличке Users и логин запомнится через сессию. При последующем логине будет уже использоваться сущность с базы.
Чтобы попробовать Social, достаточно просто composer require phpixie/social, ну и как всегда, если у вас возникнуть какие-либо вопросы, обращайтесь сразу к нам в чат.
Socialconf
Настройки приложения сохраним в ассоциативном массиве $socialConf следующего вида:
$socialConf[‘client_id’] = YOUR_CLIENT_ID;$socialConf[‘application_key’] = YOUR_APPLICATION_KEY;$socialConf[‘client_secret’] = YOUR_CLIENT_SECRET;$socialConf[‘redirect_uri’] = YOUR_REDIRECT_URI;
Далее
$usrArr
– ассоциативный массив данных пользователя.
WordPress
Для этого движка есть много расширений, к примеру:
miniOrange Social Login для регистрации через ВКонтакте, Твиттер, Инстаграм*, Фейсбук* и другие соцсети. Есть дополнительные премиальные возможности, например, отправка приветственных писем зарегистрировавшимся;
Social Login & Register тоже предлагает много соцсетей, среди которых ВКонтакте, Фейсбук*, Инстаграм*, Твиттер и другие. Есть возможность аналитики данных пользователей;
Social Login by BestWebSoft для добавления формы авторизации через соцсети и комментирования. Работает с Фейсбуком*, Твиттером, аккаунтом Google и LinkedIn;
Super Socializer включает в себя не только авторизацию, но и возможность делать репосты и комментировать контент на сайте через профили в соцсетях.
Yandex
1. Перейдите по ссылке (необходимо быть авторизованным в Яндексе);
Авторизация через социальные сети
Существует несколько способов авторизации через социальные сети.
Авторизация через соцсети
Однако у такого способа регистрации есть недостатки.
Если пользователь авторизуется через соцсеть и при этом запретит Getcourse доступ к своей почте, то в базе он появится с технической почтой, оканчивающейся на @vktech.gc. Это значит, что если у него был профиль в Getcourse, к которому не привязана эта соцсеть, он появится как пользователь-дубль. Также он не сможет получать на эту почту e-mail рассылки.
Важно, что при авторизации через соцсети на системной странице входа в аккаунт у пользователей не запрашивается разрешение на отправку сообщений в ту соцсеть, через которую происходит авторизация. Необходимо предупреждать пользователей, чтобы они обязательно давали доступ к почте и вы не потеряли возможность связаться с ними.
Можно добавить пользователя с электронной почтой, а только потом привязать соцсеть к его профилю.
Также вы можете использовать подписную страницу vk с возможностью указания адреса электронной почты в форме.
Авторизация через соцсети и регистрация на сайте
Актуальность данных пользователя
Некоторы данные профиля пользователя могут быть изменены им самим в настройках или же api социальной сети,
при этом id пользователя останется прежнем.
Аутентификация в соцсетях
Уверен, эта картинка знакома всем:
Аутентификация или авторизация?
Некоторые путают термины «аутентификация» и «авторизация». Это разные вещи.
Ещё тут?
Поздравляю, вы успешно дочитали длинную, нудную и скучную статью.
Беспарольная аутентификация
Первой реакцией на термин «беспарольная аутентификация» может быть «Как аутентифицировать кого-то без пароля? Разве такое возможно?»
В наши головы внедрено убеждение, что пароли — абсолютный источник защиты наших аккаунтов. Но если изучить вопрос глубже, то выяснится, что беспарольная аутентификация может быть не просто безопасной, но и безопаснее традиционного входа по имени и паролю. Возможно, вы даже слышали мнение, что пароли устарели.
Беспарольная аутентификация — это способ конфигурирования процедуры входа и аутентификации пользователей без ввода паролей. Идея такая:
Вместо ввода почты/имени и пароля пользователи вводят только свою почту. Ваше приложение отправляет на этот адрес одноразовую ссылку, пользователь по ней кликает и автоматически входит на ваш сайт / в приложение. При беспарольной аутентификации приложение считает, что в ваш ящик пришло письмо со ссылкой, если вы написали свой, а не чужой адрес.
Есть похожий метод, при котором вместо одноразовой ссылки по SMS отправляется код или одноразовый пароль. Но тогда придётся объединить ваше приложение с SMS-сервисом вроде twilio (и сервис не бесплатен). Код или одноразовый пароль тоже можно отправлять по почте.
И ещё один, менее (пока) популярный (и доступный только на устройствах Apple) метод беспарольной аутентификации: использовать Touch ID для аутентификации по отпечаткам пальцев. Подробнее о технологии.
Если вы пользуетесь Slack, то уже могли столкнуться с беспарольной аутентификацией.
Битрикс
У CMS Битрикс авторизация на сайте через социальные сети входит в функциональность основного модуля входа на сайт.
Нужно только настроить:
В выбранных вами соцсетях нужно зарегистрировать приложение и получить ключи.
В настройках Битрикса открыть Настройки модулей — Социальные сервисы — Внешние сервисы, выбрать нужные соцсети и внести данные в настройки панели администрирования.
Посоветуйте плагины и сервисы, которые вам нравится использовать для настройки авторизации через соцсети! Ждем в комментариях.
В соцсети через госуслуги
В России по инициативе Правительства начался эксперимент по использованию профиля россиян на портале гоуслуг для доступа к другим популярным в стране ресурсам. В эксперименте участвуют, в частности, социальные сети и виртуальные доски объявлений.
Постановление Правительства №453 об эксперименте по идентификации пользователей этих ресурсов через их аккаунт в ЕСИА (Единая система идентификации и аутентификации) подписал премьер-министр РоссииМихаил Мишустин. Он оставил свою подпись на документе еще 27 марта 2021 г., но известно об этом стало лишь в начале апреля 2021 г.
Вконтакте
Настроить авторизацию на сайте через ВКонтакте можно с помощью API. На странице создания приложения заполните поля, в качестве платформы выберите «Сайт».
Нажмите «Подключить сайт», действие нужно подтвердить через телефон или устройство с приложением. В настройках вы увидите id приложения и ключ — эти данные понадобятся для работы с API.
Список дальнейших действий подробно разобран на странице Документации для разработчиков.
Если вам нужен только ВКонтакте, можно использовать официальный виджет авторизации. На странице создания виджета нужно заполнить поля и скопировать код для вставки на сайт. Подробная документация расскажет, как правильно его вставить.
Гостевой и личный профили пользователя
Приложение может получить доступ к информации гостевого или личного профилям пользователя в зависимости
от своих настроек и разрешений пользователя. В гостевом профиле публикуется минимум данных, доступных всем.
В личном профиле публикуется информация доступная друзьям.
Двухфакторная аутентификация (2fa)
Двухфакторная аутентификация (2FA) улучшает безопасность доступа за счёт использования двух методов (также называемых факторами) проверки личности пользователя. Это разновидность многофакторной аутентификации. Наверное, вам не приходило в голову, но в банкоматах вы проходите двухфакторную аутентификацию: на вашей банковской карте должна быть записана правильная информация, и в дополнение к этому вы вводите PIN.
Если кто-то украдёт вашу карту, то без кода он не сможет ею воспользоваться. (Не факт! — Примеч. пер.) То есть в системе двухфакторной аутентификации пользователь получает доступ только после того, как предоставит несколько отдельных частей информации.
Задачи социальной интеграции
Сейчас большинство пользователей интернета имеют аккаунты в социальных сетях (одноклассники, фэйсбук, вконтаке и другие).
Эти социальные сети предоставляют свой api для авторизации на сторонних сайтах. Получается очень удобно имея один аккаунт
в социальной сети, им же подписываться на других ресурсах и постить понравившийся контент.
Под api (application programming interface) следует понимать набор команд (запросов, методов) и формат ответов,
предоставляемых соц. сетью разработчикам и описанных в документации.
Заменит ли вход через аккаунт в социальных сетях привычную форму входа?
Вход на сайт через учетную запись всегда был проблемой для большинства пользователей. Создавая очередную учетку, юзер всегда сталкивается с кучей препятствий, которые часто становятся непреодолимыми. Стоит ли указывать свою основную почту или использовать почту для спама, достаточно ли здесь простого пароля или необходим пароль отвечающий специфическим требованиям, как при следующем посещении вспомнить какие именно данные были указаны на этом конкретном сайте?
Часто для решения этой проблемы используется спорный элемент функционала сайтов – вход через социальные сети. Где-то на Хабре даже встречалось что-то вроде «Меня бесит, что разработчики сайтов уверенны, что у всех есть аккаунт в Фейсбуке и иногда делают вход через социалки единственным возможным способом».
Но давайте обратимся к статистике из зарубежных интернетов (данные от http://janrain.com/):
1. Начнем с того, что 87% респондентов имеют аккаунт в социальных сетях. Стоит помнить, что исследование проводилось среди активных пользователей интернета, что практически полностью исключает ту часть населения, которая заходит в интернет раз в неделю, посмотреть погоду.
При этом, только 18% владельцев страничек в социалках не используют форму регистрации через соц. сети на сторонних ресурсах. В итоге получается, что 71% пользователей считает использование аккаунта в фейсбуке и иже с ним допустимым способом входа на сайт.
2. 64% опрошенных один или несколько раз оставляли попытки попасть на сайт из-за того, что они забывали логин или пароль своей учетки, а нежелание тратить силы и время на их восстановление превышали потребность в информации, доступ к которой они пытались получить.
3. 65% утверждают, что они с большей охотой вернутся на сайт, который предоставляет возможность входа через соц. сети.
4. 67% считают такой способ входа прекрасным способом для персонализации содержимого сайта.
5. 60% считает, что компании использующие вход через социальные аккаунты вызывают больше доверия, а также выглядят современными и продвинутыми.
6. Не все аккаунты используют с одинаковым рвением:
Но все не так радужно, история от MailChimp»
В 2022 году специалисты MailChimp определили, что около 100 000 пользователей покинули ресурс, так и не заполнив форму входа, забыв свой логин, пароль, или все сразу. Очевединым решением стало добавление возможности использования аккаунта в социальных сетях для входа на сайт. Итогом стало снижение количества неудачных попыток входа на 71%, а частота проведения процедуры восстановления пароля снизилась на 42%.
Опыт MailChimp показал, что часто, вход на сайт превращается в угадайку. Пользователь меняет составляющие комбинации логин/пароль, пытаясь подобрать оптимальную. Кроме того, большинство пользователей имеют несколько вариантов таких комбинаций, что значительно усложняет процесс. Пять пар – это 25 вариантов, которые нужно перебрать, при этом пользователи прибегают к функции восстановления пароля крайне редко.
Но дальнейшие исследования показали, что только 3,4% пользователей воспользовались новой возможностью. Кроме того, генеральный директор заявил, что ему кажется, что новые элементы захламляют страничку и теперь она выглядит не респектабельно.
Недостатки такого способа авторизации
Учетная информация, по сути, принадлежит третьей стороне. Кто и как может воспользоваться этой информацией? Что произойдет, если третья сторона прекратит существование? Кто гарантирует сохранность этих данных? Может распустить в любой момент, вне вашего контроля.
Кроме того, возможны ситуации, которые в значительной степени снизят уровень доверия к безопасности той или иной социальной сети, что повлечет экстраполяцию негативного мнения пользователей на ресурс, использующий эту сеть для входа.
Что же вы можете сделать для того, чтобы облегчить жизнь пользователя
Возвращаясь к истории MailChimp. Вы уже поняли, что новые возможности входа на сайт не принесли результатов, на самом деле к улучшениям привели изменения в политике отслеживания ошибок и более информативные сообщения. Вместо пространного заявления о том, что пользователь ввел неверные данные, посетитель сайта получал точную информацию о том, какая часть учетных данных была введена неверно.
Вывод
Вход через социалки, пока, не способен заменить привычную форму входа или ее аналоги. При принятии решения о оформлении страницы входа важно учитывать специфику вашего ресурса. Если стартовая страница развлекательного или обучающего сайта вполне может содержать такой функционал, то на ресурсе, который имеет высокие требования к конфиденциальности и безопасности данных, они смотрятся абсолютно неуместно.
Единственной областью, где вход через социалки может властвовать почти безраздельно, является мобильный интернет. Здесь преимущества функционала и отсутствие необходимости проходить мучительную процедуру ввода данных с клавиатуры дает такому способу передачи учетных данных неоспоримые преимущества.
Как добавить на сайт регистрацию через профили в соцсетях
Если вы предложите пользователям все существующие соцсети плюс вариант с электронной почтой, форма регистрации разрастется и будет выглядеть громоздко. Изучите вашу аудиторию и выделите парочку соцсетей, которыми пользуется большинство, добавьте регистрацию по почте или телефону и достаточно.
Как работает вход через соцсеть?
Очень просто: достаточно выбрать «социалку», через которую вы хотите зарегистрироваться, нажать на соответствующую кнопку, а потом подтвердить разрешение на доступ к вашим личным данным. Чаще всего сайт или приложение сами предлагают несколько социальных сетей на выбор. После этого все нужные данные поступят на сайт, и поля в форме регистрации будут заполнены автоматически.
При этом сайт не «узнает» пароль от вашего аккаунта в социальной сети.
Нужно отметить, что при этом сайт не «узнает» пароль от вашего аккаунта в социальной сети — передается только информация из профиля, которая необходима для регистрации. Если сайт кажется вам подозрительным и давать ему доступ к данным вы не хотите, просто выберите обычную регистрацию.
Как работает единая авторизация
Для пользователя всё выглядит просто: нажал «Войти через Яндекс», подтвердил Яндексу своё желание войти на нужный сайт, и всё — вы уже зарегистрировались на новом сайте и можете им пользоваться. Но что происходит под капотом?
Когда посетитель, например, сайта о программировании, нажимает «Войти через Яндекс», этот сайт отправляет в Яндекс запрос и говорит: «Тут кто-то хочет войти на мой сайт через ваш сервис, можете разобраться?»:
Кто будет участвовать в эксперименте
На момент публикации материала итоговый список веб-сайтов, собирающихся подключить возможность пользовательской авторизации через ЕСИА, утвержден не был. Представители Минцифры сообщили CNews, что в нем точно будут числиться портал автообъявлений «Авто.ру» и сайт для поиска работы и работников HeadHunter.
Генеральный директор компании «Яндекс.Вертикали» (включает сервис Авто.ру) Павел Алешин сказал CNews: «Возможность авторизоваться на сервисах объявлений через ЕСИА позволит сделать рынок прозрачнее как для продавцов, так и для покупателей».
«В случае с “Авто.ру” это поможет уменьшить количество мошенников и сделать процесс выбора и покупки автомобиля более прозрачным и предсказуемым. В будущем мы планируем настроить подобную интеграцию и для других наших сервисов объявлений», – добавил он, подчеркнув, что «в рамках подобной интеграции данные пользователей надежно защищены и никуда не передаются».
Можно забыть через какой сервис проходил авторизацию
Если ваш ресурс даёт возможность авторизоваться через over9000 провайдеров, а у пользователя есть как минимум 2 аккаунта у этих провайдеров, то он может просто забыть каким конкретно способом он входил на сайт. В случае ошибки будет создана никому не нужная запись о новой регистрации в БД.
Решение: записать в cookies сервис авторизации и выделять его на странице входа. Возможно, это создаёт какую-то угрозу безопасности, но я не могу сходу придумать, как можно серьёзно этим воспользоваться.
Можно ли этому доверять?
Скорее нет, чем да. С OAuth есть проблема: вы никогда не знаете, действительно ли это OAuth или это хакеры сделали штуку, похожую на OAuth, которая хочет украсть ваш пароль. На всякий случай вот техника безопасности:
⚠️ Во всех важных сервисах включайте двухфакторную авторизацию: чтобы не только вводить пароль, но и получать СМС.
О чем еще говорится в постановлении
Подписанный Михаилом Мишустиным и опубликованный на портале правовой информации документ предписывает владельцам всех сайтов, решивших участвовать в эксперименте, подготовить их к взаимодействию с ЕСИА. «По завершении перехода единой системы идентификации и аутентификации с 1 января 2022 г. на использование российских криптографических алгоритмов и средств шифрования идентификация и аутентификация пользователей соцсетей, пользователей агрегаторов информации и пользователей информресурсов поиска сотрудников и работы в целях эксперимента должны обеспечиваться путем выполнения требований к средствам информтехнологий, содержащим российские криптографические алгоритмы и средства шифрования», – говорится в постановлении.
Обратите внимание
Иногда приложения и сайты запрашивают разрешение не только на регистрационные данные из социальных сетей, но и на доступ к списку ваших друзей или публикацию от вашего имени в ленте событий. В таких случаях вы часто можете выбрать, какие действия вы разрешаете, а какие блокируете.
Многие организации и производители стараются максимально войти в жизнь пользователей, и социальные сети — один из путей.
В целом это удобный способ сэкономить время и не вбивать заново все свои данные, которых бывает много для регистрации. При этом некоторые сайты дают возможность не только заполнить свой аккаунт, но и действовать от него, например, в комментариях, заодно отмечать публикации с этого сайта у себя на странице социальной сети.
Часто подобной социальной авторизацией пользуются спортивные приложения и сайты, где после авторизации можно найти друзей, следить за их спортивными успехами, делиться с ними достижениями, соревноваться. Многие организации и производители стараются максимально войти в жизнь пользователей, и социальные сети — один из путей.
Технически это очень распространенное решение, но всегда надо доверять только проверенным сайтам, внимательно обращать внимание на предупреждения и инструкции при авторизации.
Один redirect_uri для всех соц. сетей
Поскольку все соц. сети обращаются методом GET с параметром code на страницу авторизации redirect_uri
их необходимо как-то идентифицировать.
Охота за персональными данными
В марте 2021 г. российские власти хотели запретить регистрацию в социальных сетях без указания паспортных данных – такую идею 25 марта 2021 г. озвучилРоскомнадзор. Спустя день, 26 марта 2021 г., он отказался от этой идеи и предложил проходить регистрацию в сетях через портал госуслуг, для получения доступа ко всем сервисам которого все равно требуются паспортные (то есть персональные) данные.
Для регистрации в самих госуслугах и получения доступа ко всем их опциям нужно будет указать не только серию и номер паспорта, но также ФИО и номер СНИЛС вместе с адресом электронной почты и номером мобильного телефона.
Для пользователей, не желающих делиться ни с государством, ни со сторонними сервисами своими паспортными данными, существует возможность регистрации в ЕСИА без их указания. Однако в этом случае большая часть сервисов, предоставляемых порталом госуслуг, будет недоступна.
Впрочем, упрощенная регистрация ЕСИА в будущем может быть и отключена. Еще летом 2020 г. CNews сообщал, что Минцифры хотело запретить гражданам России проходить регистрацию на «Госуслугах» по упрощенной схеме – путем указания ФИО, номера телефона и e-mail. Согласно подготовленному им проекту постановления Правительства, этот способ регистрации должен был быть упразднен.
С использованием api сторонних разработчиков
Можно использовать виджеты сторонних разработчиков, например uLogin или другие.
- Преимущества такого подхода:
- Широкий выбор социальных сетей для авторизации. Нет необходимости собственноручно регистрировать и настраивать
ваше приложение в социальной сети, можно даже не заводить собственный аккаунт - Формат ответа при авторизации будет содержать набор стандартных заголовков полей, нет необходимости кастомизировать
скрипт авторизации для каждой социальной сети. Вам не придется изучать документацию по методами работы с api
- Недостатками будут:
- Проблемы с api сторонних разработчиков, как недоступность их серверов, изменение формата ответа, обязательно
скажутся на работе скрипта авторизации на вашем сайте и на ваших пользователях. - api самих социальных сетей дают возможность получить гораздо больше информации о пользователях,
чем позволяют сторонние разработки - Нет гарантии что информация пользователей будет передаваться только вам и не
будет использована разработчиками в своих интересах. Нет гарантии что вам дадут достоверную информацию о
пользователях. - Для передачи данных в совокупности потребуется выполнить большее количество запросов, что скажется на времени
работы скрипта.
Способ 1. ручная настройка форм для каждой социальной сети
Каждая соцсеть требует отдельных настроек:
со стороны соцсети нужно зарегистрировать сайт в системе и получить ключи;
со стороны сайта нужно настроить интеграцию с социальной сетью.
Способ 3. cms-плагины для регистрации на сайте через соцсети
Если пользуетесь CMS, можно поискать решение через модули и расширения в каталогах.
Требования к сайту по защите личных данных
В ФЗ N152-ФЗ «О персональных данных» описаны правила для законного сбора и обработки данных пользователей. За нарушения предусмотрены штрафы.
Список требований:
Фейсбук*
Зарегистрируйтесь в системе Фейсбука* для разработчиков, кликните на «Создать приложение» и выберите «Создание кросс-сервисных функций:
Заключение
Идея отказа от обычной регистрации очень соблазнительна, но всё зависит от того сможете ли вы избавиться от описанных проблем.
P.S. Немного статистики от uLogin можно прочитать тут.
Вместо заключения
Вывод из этого материала можно сделать такой: результативность SMM-кампании должна зависеть не только от привлекательности заголовков ваших постов. Цель эффективной рекламной кампании — привлекать новых качественных лидов, игнорируя уже зарегистрированных пользователей, постоянных покупателей и людей, чьи профили несхожи с психологическим портретом вашего потенциального покупателя.
Если делать хорошо, то не затратно, т.к. не нужно писать код — всё уже написано сотни раз до нас (если, конечно, вы не пишите на брейнфаке). Формы регистрации также есть практически во всех адекватных фреймворках (я молчу про CMS), т.е. остаётся только стили поправить.
При авторизации через соц. сети многих пугает страница, в которой сервис предупреждает (т.е. как бы намекает, что это не безопасно), что сайт запросил такие-то данные. Где-то даже была статистика по отказам на этом этапе, но сейчас вряд ли найду.
Т.е. как я и сказал выше — и там, и там есть свои и — . Это просто хороший тон — позволять пользователю регистрироваться любимым способом (будь то соц. сервисы или форма регистрации).