Хотелось бы собрать все известные на данный момент «простые» способы авторизации/регистрации на веб-ресурсах и их возможности в одном месте.
(просто - в смысле не требующих специальных устройств, таких как смарт-карты, устройства для сканирования отпечатков пальцев, сетчатки глаза и т.п.
) Что ж, попробуем.
На данный момент мне известны следующие методы: 1. Простая авторизация на сайте Это происходит повсеместно, естественно возможно только после регистрации на конечном ресурсе, и для реализации обычно требуется пара логин-пароль, предоставленная пользователем.
Плюсы: простота реализации, надежность.
Минусы: На разных сайтах разные учетные данные, которые нужно запомнить, а это не всегда возможно.
2. Авторизация с использованием OpenID Довольно интересный способ авторизации, для которого необходимо зарегистрироваться в т.н.
«поставщик удостоверений» и «проверяющая сторона» — конечный ресурс (сайт), который пытается идентифицировать пользователя.
Особенность этого метода в том, что регистрация на самом сайте не требуется, и для многих сайтов может быть один провайдер идентификации.
Подробности можно узнать здесь, например: http://ru.wikipedia.org/wiki/OpenID Плюсы: один общий логин и пароль для одного провайдера, а значит и для всех ресурсов, удобство (не нужно запоминать несколько аккаунтов для разных сайтов), скорость использования, безопасность (пароль от аккаунта провайдера не переносится на конечный ресурс (исключая случаи фишинга), перехват также исключен) Минусы: Распространенность метода пока низкая, нужные большинству пользователей сайты, поддерживающие OpenID, можно пересчитать по пальцам, централизация тоже не всегда хороша.
Примеры сайтов, использующих метод: ЖЖ , Мой круг Пример поставщика удостоверений: MyOpenID.com Вариации метода: «Цифровой паспорт .
NET» — собственная разработка Microsoft, но уже завоевавшая некоторую популярность.
Ну, это один из более-менее популярных.
Теперь посмотрим на «экзотику»: 3. Enum - авторизация Суть метода: привязка «аккаунта» к номеру мобильного телефона.
При регистрации на сайте такого провайдера пользователю предоставляется ссылка, по которой он устанавливает Java-приложение на свой телефон.
Для авторизации на сайтах, поддерживающих этот метод, пользователь вводит свой адрес электронной почты, а сайт в ответ показывает пользователю номер, который необходимо ввести в ранее установленное приложение.
После ввода номера чека на экране мобильного телефона отображается номер результата, который затем необходимо ввести обратно на сайт, где происходит авторизация.
Он чем-то напоминает OpenID, а потому наследует некоторые его возможности: плюсы решения: простота внедрения и использования, безопасность (метод исключает перехват учетных данных, пригодных для повторной авторизации) Минусы: малая распространенность метода, привязка к телефону, который может быть украден или потерян, или просто может не оказаться рядом в нужный момент. Пример поставщика перечисления 4. Мне трудно даже назвать этот метод. Универсальный аккаунт чтоли.
Впервые я увидел это на сайте Русское Jabber-сообщество Суть метода в том, что для того, чтобы писать комментарии на этом сайте нужна зарегистрированная учетная запись, но не обязательно на самом jabber.ru, а вообще на любой Джаббер сервер! Действительно удобно.
(на момент написания опуса метод не работает, возникает ошибка подключения к удаленному серверу и движок считает введенный пароль неверным, пробовал на аккаунте gmail.com, раньше работало.
.
) Что ж, плюсы и минусы кажутся очевидными: у многих сейчас есть Jabber, у них есть аккаунты — это удобно.
Но тут сразу встает вопрос о доверии сайту, ведь зайдя один раз в свой аккаунт, недобросовестный администратор может сделать это еще раз – это минус.
Также сайт все равно можно считать «тематическим» и аналогичный метод на другом сайте будет просто неоправдан из-за другой аудитории.
5. Авторизация с сертификатами Более подробно описывать не думаю, по той причине, что реализовать это можно очень разными способами, начиная от установки сертификата на компьютер (те же провайдеры OpenID, например MyOpenID.com ) к более простому методу.
Живую реализацию этого метода я видел и использовал только один раз - на Античат форум - там после обычной регистрации вы можете зайти в свой профиль и скачать "сертификат" - файл с ключом, затем спрятать его в укромное место и забыть.
И помните об этом только в том случае, если вы потеряете пароль – сертификат поможет вам восстановить забытый пароль.
Не авторизация в чистом виде, а про сертификаты :) Можно и подробнее о сертификатах .
6. «Разовая» авторизация по ссылке Просто пример: после обычной регистрации на каком-то форуме на указанный адрес электронной почты приходит письмо со ссылкой - подтверждение адреса.
Ссылка работает только один раз, цель у нее тоже одна - подтвердить, что именно владелец этого адреса зарегистрировался на том форуме, но иногда при переходе по такой ссылке пользователь попадает сразу в свой аккаунт без ввода логина.
и пароль, что тоже удобно.
Аналогичный метод также используется для сброса пароля.
В общем, это тоже метод авторизации.
Выводы: Некоторые из этих методов чем-то похожи друг на друга, но имеют разные наборы преимуществ и недостатков.
При этом способы 2 – 6 не могут обойтись без первоначальной «простой» регистрации и авторизации.
О чем я говорю? Да и к тому же, создавая очередной проект, нужно тщательно продумать вопрос авторизации/регистрации пользователей.
PS Жду конструктивной критики.
УПД: Всем спасибо за комментарии и исправления, также прошу прощения, что не смог активно участвовать в обсуждении - не смог из-за учебы.
:) Теги: #авторизация #идентификация #регистрация #openid #jabber #сертификат #разработка сайта
-
Мартин, Арчер Джон Портер
19 Oct, 24 -
Выпущены Java/Python Sdk 1.2.5
19 Oct, 24 -
Реклама В Вконтакте. Эксперимент Завершен
19 Oct, 24 -
Виртуальная Память В Armv7
19 Oct, 24 -
Общая Идея Гибридизации Приложений
19 Oct, 24
