Was sind die Vor- (und Nachteile) der Verwendung von "Mit Twitter / Facebook anmelden" für eine neue Website? [geschlossen]

Ich und ein Freund suchen nach einer kleinen Forumsseite. Ich erwäge, die APIs für die Anmeldung mit Facebook / Twitter zu verwenden, möglicherweise ausschließlich (a la Lanyrd ), um sich als Benutzer anzumelden . Ich habe keines von diesen zuvor verwendet, noch eine Site mit Benutzeranmeldungen überhaupt ausgeführt.

Was sind die Vor- (und Nachteile) dieser APIs? Speziell:

1. Welche Vorteile habe ich als Entwickler, wenn ich sie verwende? Welche Nachteile gibt es?

2. Mögen / mögen Endbenutzer sie tatsächlich nicht?

3. Haben Sie spezielle technische / logistische Probleme mit diesen APIs?

Hier sind die Vor- und Nachteile, die ich bisher habe:

Vorteile

• Bequemer für den Benutzer ("registrieren" mit zwei Klicks, anmelden mit einem)
• Möglicherweise müssen Sie kein eigenes Anmeldesystem pflegen

 Nachteile

• Keine Kontrolle über unseren Login-Prozess
• Schließen Sie Facebook- / Twitter-Nutzer aus, die besorgt sind, dass wir auf ihre Konten zugreifen könnten
• Die Konten der Benutzer auf unserer Website sind kompromittiert, wenn ihre Facebook- / Twitter-Konten kompromittiert sind.
• Und wenn wir kein eigenes alternatives Login-System pflegen:
  • Abhängigkeit von Facebook / Twitter für unser Login-System
  • Schließen Sie Nicht-Facebook- / Nicht-Twitter-Benutzer von unserer Website aus

Ein Nachteil ist, dass ein Nutzer möglicherweise paranoid ist, wenn er sich mit seinen Facebook- / Twitter-Anmeldeinformationen auf Ihrer Website angemeldet hat und der Ansicht ist, dass Ihre Website uneingeschränkten Zugriff auf alle seine Informationen zu den jeweiligen Konten hat.

Bitte tu es nicht.

Viele Menschen, insbesondere diejenigen, die nicht in den USA ansässig sind, haben keinen Facebook-Account und erstellen keinen, der sich an alles erinnert, was in Bezug auf Facebook und seine Unkenntnis der Privatsphäre der Nutzer gesagt wurde.

Im Gegensatz zu dem, woran viele glauben, gibt es viele Menschen, die glücklich ohne diese sozialen Lärm- und Müllseiten leben und sich nicht darum kümmern.

Warum sie ins Gesicht spucken und ablehnen, nur weil sie der Massenhysterie namens Facebook nicht erlegen sind?

Weitere zu berücksichtigende Punkte:

1. Sie führen eine einzelne Fehlerquelle ein, indem Sie sie von einem externen System abhängig machen. Wenn sie beschließen, ihre OpenID herunterzufahren oder dafür zu bezahlen, sind Sie massiv durcheinander.

2. Sie sammeln Daten über Ihre Benutzer und wer weiß, was damit zu tun ist. Zumindest werden sie es für Marketingzwecke verwenden und letztendlich Geld damit verdienen, und sie werden Ihnen kein Stück vom Kuchen geben.

3. Indem Sie sie als OpenID-Anbieter einsetzen, unterstützen Sie ihr Quasi-Monopol und helfen ihnen, noch weiter zu wachsen. Mache einen Zivildienst und trage nicht zu dieser Plage bei.

Ein weiteres Manko: Nicht-Facebook- und Nicht-Twitter-Benutzer ausschließen (oder Benutzer, die sich einfach nicht sicher fühlen, wenn sie ihre Anmeldedaten an andere Websites weitergeben). Oder verursachen Sie Unannehmlichkeiten, indem Sie ein externes Konto erstellen. Mir persönlich gefällt die Idee, dass jemand, der meine Facebook- / Twitter-Anmeldeinformationen erhält, auf eine andere Website gelangen kann, auf der dieselben Informationen verwendet werden, nicht. Aber vielleicht bin ich nur paranoid.

Ich kann mir vorstellen, dass es als Option verwendet wird , aber Sie würden viele potenzielle Besucher verlieren, wenn Sie einen FB- oder Twitter-Login benötigen. Selbst wenn Besucher über FB-Konten verfügen, möchten viele diese nicht für Datenschutzzwecke verwenden. Ich würde auf keinen Fall eine zufällige Seite mit persönlichen Informationen angeben wollen.

Wahrscheinlich benötigen Sie trotzdem eine Art Benutzerverfolgungssystem, da Sie möglicherweise Benutzerinformationen zu Ihrer Website wie Einstellungen verfolgen möchten.

Eine Website, die ich häufig besuche, verfügt über ein eigenes lokales Anmeldesystem / Benutzerkonten. Benutzer haben jedoch die Möglichkeit, ihr Konto mit einem Facebook-Konto zu verknüpfen, wenn sie dies wünschen. Für diese Personen haben sie also die Vorteile eines einfachen Logins, wenn sie dies wünschen, und niemand ist gezwungen, ein Facebook-Login zu verwenden, wenn er dies nicht möchte. Es funktioniert ganz gut, würde ich sagen.

Ich habe mit OpenID, Facebook und Twitter gespielt, um mich einzuloggen. Einmal habe ich es nur getestet und konnte mich aus irgendeinem Grund nicht über Facebook anmelden. Nachdem ich mir die Facebook-Entwicklerseite angesehen hatte, bemerkte ich, dass der API-Server ausgefallen war. Das ist ein großer Nachteil, wenn sich Benutzer nicht anmelden können, weil Facebook eine gewisse Ausfallzeit hat. Twitter könnte dieselben Probleme haben wie OpenID.

Es kommt wirklich darauf an, was Ihr Zielmarkt ist. In einigen Zielmärkten ist das Problem "Nichtbenutzer ausschließen" beispielsweise winzig (fast alle Benutzer haben es und teilen es gerne). In anderen Fällen handelt es sich um ein massives Problem.

Sie können es hier in den Antworten sehen: Programmierer neigen dazu, sehr vorsichtig mit der Sicherheit umzugehen und wollen keinen Zugriff gewähren, daher das ganze "NEIN!" Antworten :-p Nichttechniker sind weniger vorsichtig.

Aber die offensichtliche Antwort ist, wenn du kannst, mache sowohl fb / twitter als auch dein eigenes System. Dann sind alle glücklich.

Ich habe ein Facebook-Konto, aber wenn ich auf eine Website stoße, auf der ich mich damit anmelden soll, tue ich das nicht. Wenn es eine alternative Methode gibt, verwende ich sie. Wenn nicht, möchte ich sowieso nicht wirklich sehen, was sich auf dieser Site befindet. Ich hasse es, auf Websites zu gehen und zu sehen, was andere Facebook-Freunde auf dieser Website getan haben. Es ist gruselig und stört Ihre Privatsphäre (insbesondere, wenn ich mich nicht über Facebook angemeldet oder der Website mein Facebook-Konto mitgeteilt habe).

Man kann es nur so machen - wie testet man lokal ohne komplexe externe Abhängigkeiten? Wie richten Sie zufällige Testkonten ein? Demokonten? Nichtmenschliche Benutzerkonten? In der Regel benötigen Sie ein lokales Authentifizierungsschema, um diese Permutationen abzudecken, auch wenn die meisten Benutzer ihre Anmeldeinformationen extern speichern.

Das Wichtigste: Wenn Sie keine Internetverbindung haben, können Sie Ihre App nicht einmal hacken, geschweige denn materiell bearbeiten. Und wenn Sie Fehler bei der Authentifizierung oder Autorisierung haben, wie können Sie sicher sein, dass es sich nicht um ein Facebook / Twitter / anderes Problem handelt, wenn Sie nicht einfach und lokal etwas ausführen können, um sicherzustellen, dass Ihr Code korrekt ist?

Ich würde sagen, dass die Verwendung eines externen Anmeldesystems sehr gut funktionieren kann. Sehen Sie sich an, wie openID für Stackoverflow und Stackexchange verwendet wurde. Der Vorteil ist groß: Sie müssen nicht das gesamte Anmeldesystem codieren. Dies ist ein großer Teil der ursprünglichen Codebasis, die Sie einfach ignorieren können, und Sie haben keine Chance, einen Fehler zu machen Sie können anderen Personen die Möglichkeit geben, sich Gedanken darüber zu machen, welche Art von Kennwort ausreicht und wie das Kennwort zurückgesetzt werden kann. Und wenn sie bereits irgendwo eine OpenID haben (entweder von einem Blogging-Konto oder einer, die sie für den Zugriff auf Stackoverflow eingerichtet haben), müssen sie sich keine weitere Kombination aus Benutzername und Passwort merken.

Die Nachteile sind, dass viele Benutzer es etwas verwirrend finden und möglicherweise keine OpenID auf einer externen Site erstellen möchten, wenn sie noch keine verwendet haben.

Die Verwendung eines Facebook-Logins bietet all diese Vorteile sowie die Möglichkeit, sich mit ihrem Facebook-Konto zu verbinden, sofern dies zulässig ist.

Der Nachteil ist, dass Sie sich an Facebook binden, wenn Sie sich ausschließlich auf Facebook verlassen: Wenn Facebook jemals seine API ändert oder Ihre Website sperrt, oder wenn Benutzer wie ich sich weigern, sich auf einer Website anzumelden, auf der möglicherweise Daten von Facebook geteilt werden (wer ist das?) bekanntermaßen nicht sehr vorsichtig sein, wenn es darum geht, diese Daten nicht an andere Unternehmen weiterzugeben). Beachten Sie, dass IIRC, selbst wenn Ihre Seite einen Facebook-Link " Gefällt mir " oder "Anmelden" enthält, es Facebook ermöglicht , per Doppelklick zu verfolgen, welche angemeldeten Benutzer Ihre Website anzeigen.

Also würde ich sagen:

• Idealerweise erlauben Sie Anmeldungen mit mehreren externen Sites: openID sites, facebook, google usw.
• Wenn Sie ein Facebook-Anmeldeformular haben, setzen Sie es nicht direkt auf die erste Seite, sondern zeigen es nur an, wenn Benutzer auf "Mit Facebook anmelden" klicken (ich werde mich nie über die Möglichkeit beschweren, dies zu tun :)) .
• Entscheiden Sie zu Beginn, welche für Sie am schnellsten einzurichten ist, Konten und Kennwörter oder openID oder etwas anderes.
• Entscheiden Sie, ob es sich lohnt, auch Konten und Kennwörter hinzuzufügen, wenn Sie über ein externes Login verfügen. (Stellen Sie jedoch sicher, dass Sie mindestens ein paar externe Anmeldungen haben.)

Zumindest bin ich besorgt über die Schlagzeilen der sozialen Medien und insbesondere von Facebook, weil sie den wahlweisen Informationsaustausch liberal missachten. Dieses Misstrauen trägt dazu bei, dass die scheinbar große Mehrheit der Apps, denen ich begegnet bin, alle meine Informationen und dann Informationen zu allen Personen anfordert, die ich kenne, um an ihrem App-Kontext teilzunehmen. Quatsch. In Sicherheitsüberprüfungsgesprächen der Regierung werden viele Informationen abgefragt, die die meisten erwarten, aber nicht annähernd den FB-Anforderungen entsprechen. Ich habe ein Konto, aber seinen Bestand, der nur für die Kernfunktionen verwendet wird.

Davon abgesehen mag ich föderierte Id in Konzept und Praxis (wie openid und open auth im Allgemeinen). Ich denke, dass die Verwendung der von den wichtigsten Webmail-Anbietern unterstützten Anbieter aus Anwendersicht aus mehreren Gründen schwierig ist. Einer der offensichtlichen Vorteile einer Verbund-ID (z. B. weniger Anmeldeinformationen, die gespeichert oder auf andere Weise mit einer weiteren lokalen Anmeldeinformationsspeicher-App oder einem anderen Add-In verwaltet werden müssen). Zweitens vertraue ich darauf, dass mein E-Mail-Anbieter meine persönlichen Daten (und folglich meinen Posteingang) gut schützt, solange ich meinen Teil zum Schutz meiner Anmeldeinformationen (Stärke des Benutzernamens / Passes und vernünftige Kontrolle der Offenlegung) beitrage.

Ich könnte andere Federated Id-Anbieter in Betracht ziehen, aber sie müssten gemäß dem Zweck von Federated Id überzeugend sein.

Schließlich ist die Integration einer Vielzahl von Anbietern nicht unbedingt einfach. Das stackexchange-Team hat vor einiger Zeit die Herausforderungen kommentiert. Wenn ich nicht auf einem mobilen Gerät wäre, würde ich die Suche für Sie durchführen.

Meh, ich bin anscheinend in einem anderen Lager. Für mich ist das Konzept von Facebook eines, das den Test der Zeit bestehen wird. Vielleicht wird es in Zukunft nicht mehr Facebook sein, wer weiß. Abgesehen von den Anliegen des Datenschutz-Verschwörungstheoretikers (Sie können Ihre Privatsphäre kontrollieren) ist diese Art von Service meiner Meinung nach "nützlich". Indem Sie Ihr Telefon abheben, um jemanden anzurufen, rennen Sie zu Ihrem Postfach, um die E-Mails abzurufen. Dann "facebooken" Sie Ihre Freunde, um Kontakt aufzunehmen.

Wir haben bereits einen deutlich verringerten E-Mail-Verkehr , da sich die Leute gegenseitig "facebooken". Es ist nur eine Frage der Zeit, aber die E-Mail-Nutzung nimmt weiter ab.

Denken Sie auch daran, dass die Art von Personen, die Sie in Ihr System eingeloggt haben möchten, sehr wohl die Art von Personen sein können, die über ein Facebook-Konto verfügen würden. Diejenigen, die normalerweise (aus meiner Erfahrung) nicht an Ihrer Site teilnehmen (oder überhaupt an irgendeiner Site).

Die Tatsache ist, ob Facebook oder nicht, ein System, in dem jeder sofort mit den Leuten kommunizieren kann, denen er zustimmt, wird der beste Kandidat für ein "Single Sign On" -System im Internet sein. Sie können "2-Klick-Registrierung und No-Klick / 1-Klick-Login" nicht einfach als kleine Profis abtun, sie sind RIESIG!

Was machst du auf deinem Facebook-Profil, wenn du dir Sorgen um die Privatsphäre machst? Warum stellst du es da raus?

Meine Stimme (für was es wert ist) ist gut! Ersetzen Sie Ihr Mitgliedersystem vollständig durch ein Nur-Facebook-System. Ich habe und meine Benutzer mögen es so weit .