Quais são os prós (e os contras) do uso de "Entrar com Twitter / Facebook" em um novo site? [fechadas]

18

Eu e um amigo estamos procurando lançar um pequeno site no fórum. Estou pensando em usar as APIs "Entrar com o Facebook / Twitter", possivelmente exclusivamente (como o Lanyrd ), para o login do usuário. Eu nunca usei nenhum desses antes, nem executei um site com logins de usuário.

Quais são os prós (e os contras) dessas APIs? Especificamente:

  1. Quais benefícios eu recebo como desenvolvedor ao usá-los? Quais são as desvantagens?

  2. Os usuários finais realmente gostam / não gostam deles?

  3. Você já teve problemas técnicos / logísticos com essas APIs especificamente?

Aqui estão os prós e contras que tenho até agora:

Prós

  • Mais conveniente para o usuário ("registre-se" com dois cliques, entre com um)
  • Possivelmente não há necessidade de manter nosso próprio sistema de login

 Contras

  • Sem controle sobre nosso processo de login
  • Excluir usuários do Facebook / Twitter que estejam preocupados com o acesso a suas contas
  • As contas dos usuários em nosso site ficam comprometidas se as contas do Facebook / Twitter estiverem comprometidas.
  • E se não mantemos nosso próprio sistema alternativo de login:
    • Dependência do Facebook / Twitter para o nosso sistema de login
    • Excluir usuários que não sejam do Facebook / que não sejam do Twitter do nosso site
Paul D. Waite
fonte
2
(contras: facebook interwebs)
Thomas Eding
1
Você já pensou em usar mais provedores OpenID do que apenas o Facebook e o Twitter?
jprete
@ jprete: não. (Queixa técnica: não estamos pensando em usar o Facebook / Twitter como provedores de OpenID , mas como provedores de login.) No que diz respeito ao mainstream no Reino Unido, todo mundo já ouviu falar do Facebook e do Twitter e ninguém ouviu falar de mais nada.
Paul D. Waite
1
Eu sugiro que você acabe acessando o Facebook / Twitter como login mencionado para seus usuários que não tem acesso às informações de login deles, para que eles se sintam mais confortáveis.
O homem de muffin
1
@ PaulD.Waite Ninguém no mainstream do Reino Unido ouviu falar do Google, Yahoo !, ou da BBC?
Peterl

Respostas:

16

Um truque que eu diria é que um usuário pode ficar paranóico por agora ter feito login no seu site usando suas credenciais do Facebook / Twitter e achar que seu site tem acesso total a todas as informações nessas contas.

James Love
fonte
4
Esse é realmente um bom ponto. Evitei usar muitos aplicativos no Facebook porque eles parecem estar pedindo acesso completo a todas as minhas informações. (Mesmo que não sejam - acho que o prompt do Facebook é um pouco desanimador a esse respeito.) O mesmo se aplicaria ao uso do Facebook para fazer login em algum lugar.
Paul D. Waite
concordou, é por isso que eu não os uso, muito desanimador. Embora eu tenha uma conta falsa no Facebook, se tornar muito popular.
Spooks
3
Isso nunca usou o Facebook / twitter para entrar em outro site. Muito disso se resume a sites de compras on-line, pois quero manter minhas informações bancárias / de dinheiro longe do facebook ou de qualquer site de rede social.
falclif
41

Por favor, não faça isso.

Muitas pessoas, especialmente as que não estão nos EUA, não terão uma conta no Facebook e não criarão uma lembrando tudo o que foi dito em relação ao Facebook e seu desconhecimento da privacidade dos usuários.

Ao contrário do que muitos acreditam, há muitas pessoas que vivem felizes sem esses ruídos sociais e sites indesejados e não dão a mínima para eles.

Por que cuspi-los na cara e rejeitá-los apenas porque não sucumbiram à histeria em massa chamada Facebook?

Outros pontos a considerar:

  1. Você apresentará um único ponto de falha, tornando-o dependente de um sistema externo. Se eles decidirem fechar o OpenID ou fazer com que você pague por isso, você ficará ferrado.

  2. Eles coletarão dados sobre seus usuários e quem sabe o que fazer com eles. No mínimo, eles o usarão para fins de marketing e, finalmente, ganharão dinheiro com isso e não lhe darão um pedaço da torta.

  3. Ao tomá-los como um provedor OpenID, você apoiará ainda mais seu quase monopólio e os ajudará a crescer ainda mais. Faça um serviço comunitário e não contribua para essa praga.


fonte
1
Bom ponto sobre a dependência externa. Não tenho certeza sobre o material de coleta de dados. Certamente, os únicos dados que obtêm é o fato de o usuário ter acessado nosso site? Não estou dizendo que isso não é nada, mas não tenho certeza se é significativo.
Paul D. Waite
3
"Eles coletarão dados sobre seus usuários e quem sabe o que fazer com eles". Não é difícil imaginar o Facebook um dia decidindo postar no mural do usuário toda vez que ele usa o Facebook para fazer login em um site externo. E não haverá nada que você possa fazer a respeito, caso o Facebook decida fazer essa alteração.
Jason
Eu sinto que o ponto 3 é sem sentido. Se alguém cresce bem, provavelmente está criando maneiras de ganhar dinheiro também.
Alexander
11

Outra desvantagem: excluir usuários que não são do Facebook e que não são do Twitter (ou usuários que simplesmente não se sentem seguros ao compartilhar suas informações de login em outros sites). Ou causar-lhes inconveniência, fazendo-os criar uma conta externa. Pessoalmente, não gosto da ideia de ponto de falha única de que, se alguém obtiver minhas informações de login no Facebook / Twitter, poderá entrar em qualquer outro site que use as mesmas informações. Mas talvez eu seja apenas paranóico.

FrustratedWithFormsDesigner
fonte
7

Eu posso ver isso sendo usado como uma opção , mas você perderia muitos visitantes em potencial se exigisse um login no FB ou no Twitter. Mesmo se os visitantes tiverem contas no FB, muitos não desejarão usá-las para fins de privacidade. Eu certamente não gostaria de dar a algum site aleatório informações de identificação pessoal.

E você provavelmente ainda precisará de alguma forma de sistema de rastreamento de usuários, pois pode acompanhar as informações do usuário relacionadas ao seu site, como preferências.

GrandmasterB
fonte
“Você perderia muitos visitantes em potencial se você exigisse um login no FB ou no Twitter” - você tem alguma fonte para isso? Entendo que você não gostaria de fazê-lo (nem eu), mas além de nossos instintos, há evidências do que os usuários realmente fazem?
Paul D. Waite
“Você provavelmente ainda precisará de alguma forma de sistema de rastreamento de usuários, pois pode querer rastrear informações do usuário relacionadas ao seu site” - com certeza, mas ainda assim poderíamos evitar manter nosso próprio sistema de login - basta armazenar as preferências ao lado de qualquer ID que As APIs do Facebook / Twitter nos fornecem o usuário (supondo que ele realmente faça isso).
Paul D. Waite
1
O FB tem 500 milhões de usuários. A população do mundo é quase 7 bilhões. Essa matemática não está a seu favor. Se você considerar os EUA, sua população de 300 milhões de habitantes vs 125 milhões de usuários dos EUA. Novamente, não a seu favor. E isso ignora os usuários falsos do FB. Se você realmente deseja seguir a rota do FB, considere tornar seu site um aplicativo do FB.
GrandmasterB
2
“B tem 500 milhões de usuários. A população do mundo é quase 7 bilhões. Essa matemática não está a seu favor. ”Nem todo mundo tem um computador! 125 milhões de usuários dos EUA também não são ruins.
Paul D. Waite
5

Um site que eu frequente tem seu próprio sistema de login local / contas de usuário, mas os usuários têm a opção de vincular sua conta a uma conta do Facebook, se assim o desejarem. Portanto, para essas pessoas, elas têm os benefícios de fazer login facilmente, se quiserem, e ninguém é forçado a usar um login no Facebook, se não quiserem. Funciona muito bem, eu diria.

Andrew Arnold
fonte
3

Eu brinquei com o uso de OpenID, Facebook e Twitter para logins. Uma vez, eu estava apenas testando e não consegui acessar o Facebook por algum motivo. Depois de olhar para a página do desenvolvedor do Facebook, notei que o servidor de API estava inativo. Portanto, essa é uma grande desvantagem quando os usuários não conseguem fazer login porque o Facebook está tendo algum tempo de inatividade. O Twitter pode ter os mesmos problemas, assim como o OpenID.

jonescb
fonte
2

Realmente depende do seu mercado-alvo. Por exemplo, em alguns mercados-alvo, a preocupação de "excluir não usuários" é pequena (quase todos os usuários os têm e têm prazer em compartilhar). Em outros, é um problema enorme.

Você pode vê-lo aqui nas respostas: Os programadores tendem a ser muito cuidadosos com a segurança e não querem dar acesso; portanto, todo o "NÃO!" respostas :-p Pessoas não técnicas são menos cuidadosas com isso.

Mas a resposta óbvia é fazer o fb / twitter e seu próprio sistema, se puder. Então todo mundo está feliz.

James
fonte
Certo. Lanyrd , por exemplo, parece estar bem confiando apenas no Twitter para autenticação, mas é direcionado especificamente para pessoas que participam / falam em conferências, por isso faz sentido.
Paul D. Waite
2

Eu tenho uma conta no Facebook, mas quando me deparo com um site que deseja que eu faça o login, não o faço. Se houver um método alternativo, eu o usarei. Caso contrário, eu realmente não quero ver o que há nesse site. Eu odeio ir a sites e ver o que outros amigos do Facebook fizeram nesse site também, é assustador e intrusivo à sua privacidade (especialmente quando eu não entrei no Facebook nem contei ao site minha conta no Facebook).

HLGEM
fonte
2
O login via Facebook não significa que o site está usando suas informações para obter (por meio da API do Graph) o que seus amigos estão fazendo. Alguns sites simplesmente gostariam de evitar a criação de um sistema de associação próprio. Há muitos benefícios para ambas as partes.
Chad #
Eu nunca entraria em um site que usa apenas o login do Facebook e nem outras pessoas. Nós não sabemos o que você está fazendo com os dados até que você entrar.
HLGEM
Quais dados? Eu não entendo ... por que você está postando algo tão pessoal que você teria "medo" de alguém "conseguir" isso? Essa não é a maneira inteligente de usar as mídias sociais em qualquer plataforma. Um único sistema de conexão, seja o Facebook ou não, é algo de que a Internet realmente poderia se beneficiar.
Chad
1

Um problema é fazê-lo dessa maneira - como você testa localmente sem dependências externas complexas? Como você configura contas de teste aleatórias? Contas de demonstração? Contas de usuário não humanas? Normalmente, você precisa de um esquema de autenticação local para cobrir essas permutações, mesmo que a esperança seja que a maioria dos usuários armazene credenciais externamente.

O mais importante - se você não possui uma conexão com a Internet, não pode nem mesmo invadir, e muito menos fazer trabalho material, no seu aplicativo. E, quando você tem bugs na autenticação ou autorização, como pode ter certeza de que não é um problema do facebook / twitter / outro oauth se você não pode executar algo simples e local para garantir que seu código esteja correto?

Wyatt Barnett
fonte
Basta criar um novo aplicativo fb, myAppTest. Use o ID do aplicativo de teste internamente, use o ID do aplicativo real publicamente. Não é tão ruim mesmo.
Chad
Exceto quando você estiver em um avião. . ..
Wyatt Barnett
1

Eu diria que o uso de um sistema de logon externo pode funcionar muito bem - veja como o openID us usado no stackoverflow e stackexchange. A vantagem é grande: você não precisa codificar todo o sistema de logon, que é uma grande parte da base de código inicial que você pode simplesmente ignorar e não tem a chance de errar, e pode deixar alguém outra preocupação sobre que tipo de senha é suficiente, e como redefini-la, e assim por diante. E se eles já tiverem um openid em algum lugar (a partir de uma conta de blog ou configurada para acessar o fluxo de pilha), não precisarão se lembrar de outra combinação de nome de usuário / senha.

As desvantagens são que muitos usuários acham um pouco confuso e podem não querer criar um openid em um site externo, caso ainda não o tenham usado.

O uso de um login no facebook tem todos esses benefícios, além da oportunidade de interagir com a conta do facebook, se eles permitirem.

A desvantagem é que, se você confiar exclusivamente no Facebook, estará se atando a eles: se o Facebook mudar sua API ou banir seu site, ou usuários como eu se recusam a fazer login em um site que pode compartilhar dados do Facebook (que são conhecido por não ser muito cauteloso quando se trata de não vazar esses dados para outras empresas). Observe que o IIRC, mesmo tendo um link " curtir " ou "logon" na sua página, permitirá que o Facebook rastreie quais usuários logados visualizam seu site, com apenas um clique duplo.

Então, eu diria:

  • idealmente, você permitiria logins com vários sites externos: sites openID, facebook, google, etc.
  • se você possui um formulário de login no facebook, não o coloca na primeira página, apenas o exibe quando os usuários clicam em "fazer login com o facebook" (nunca vou reclamar por ter a opção de fazê-lo :)) .
  • Para começar, decida qual é o mais rápido para configurar, contas e senhas ou openID ou qualquer outra coisa.
  • Decida se vale a pena adicionar contas e senhas também ou não, se você tiver login externo. (Mas certifique-se de ter pelo menos um login externo)
Jack V.
fonte
0

Sou, no mínimo, cauteloso com as principais mídias sociais e, especialmente, com o Facebook por seu desprezo liberal pelo compartilhamento eletivo de informações. Essa desconfiança tem um fator composto que a aparentemente vasta maioria dos aplicativos que encontrei solicita todas as minhas informações e, em seguida, as informações sobre todos os que eu conheço para participar de seu contexto de aplicativos. Baloney. As entrevistas de autorização de segurança do governo pedem muitas informações, como a maioria esperaria, mas nem chegam nem perto do que o FB "exige". Eu tenho uma conta, mas seu estoque, usado apenas para os principais recursos.

Dito isto, eu gosto do Id federado no conceito e na prática (como openid e open auth em geral). Penso que é difícil argumentar com o uso dos provedores suportados pelos principais provedores de webmail da perspectiva do usuário, por algumas razões. Um, benefícios óbvios do ID federado (como menos pares de informações de login para lembrar ou gerenciar com outro aplicativo ou suplemento local de armazenamento de informações de login). Segundo, confio no meu provedor de e-mail para fazer um bom trabalho de proteção de minhas informações pessoais (e consequentemente, da minha caixa de entrada), desde que eu faça minha parte de proteger minhas credenciais (força do nome de usuário / senha e controlar criteriosamente a exposição).

Eu poderia considerar outros provedores de ID federado, mas eles teriam que ser convincentes, de acordo com o objetivo do ID federado.

Por fim, integrar uma infinidade de fornecedores não é necessariamente fácil. A equipe stackexchange comentou sobre os desafios há um tempo. Se eu não estivesse em um dispositivo móvel, faria a pesquisa por você.

JustinC
fonte
0

Meh, aparentemente estou em outro campo. Para mim, o conceito de Facebook é aquele que resistirá ao teste do tempo. Talvez não seja o Facebook no futuro, quem sabe. No entanto, indo além das preocupações dos teóricos da conspiração da privacidade (você pode controlar sua privacidade), minha opinião é que esse tipo de serviço se tornará "utilitário". Como você pega o telefone para ligar para alguém, sai correndo para a sua caixa de correio para pegar o correio ... você "entrará no Facebook" com seus amigos para entrar em contato.

Já estamos enfrentando um tráfego de e-mail significativamente reduzido, agora que as pessoas se "Facebook". É apenas uma questão de tempo, mas o email continuará diminuindo em uso.

Além disso, lembre-se de que os tipos de pessoas que você deseja fazer logon no seu sistema podem muito bem ser aqueles que teriam uma conta no Facebook. Aqueles que não participam, normalmente (de acordo com a minha experiência), não vão "participar" do seu site de qualquer maneira (ou mesmo de qualquer site).

O fato é que, seja o Facebook ou não, um sistema no qual todos possam se comunicar instantaneamente com as pessoas que aprovarem será o melhor candidato para um sistema de "logon único" na Internet. Você não pode simplesmente descartar "o registro com 2 cliques e o login sem clicar / 1 clique" como pequenos profissionais, eles são ENORMES!

Para as pessoas preocupadas com a privacidade, o que você está colocando no seu perfil do Facebook que pode ser prejudicial se levado? Por que você está colocando isso lá fora?

Meu voto (pelo que vale a pena) é ir em frente! Fique louco, substitua completamente seu sistema de associação por um sistema exclusivo do Facebook. Eu tenho, e meus usuários gostam até agora .

Chade
fonte
1
“Aqueles que não participam, normalmente (da minha experiência), não vão" participar "do seu site de qualquer maneira (ou de qualquer site realmente, por sinal)." faça ”, eu diria que, para algumas classes de usuários, eles participam muito, apesar de sua aversão à conta do Facebook.
Paul D. Waite
robert: rejeitei a sua edição sugerida para a resposta, pois esse deveria ser um comentário e não uma edição.
user281377
2
A afirmação de que pessoas sem contas no Facebook não participam de comunidades online é ridícula. O Facebook é o junkfood de menor denominador comum da Internet. Algumas pessoas mantêm contato com amigos e familiares sem problemas. Sei que sim, e ainda estou ativo em várias comunidades online (incluindo o StackExchange e vários sites de arte).
KChaloux
Gostaria de saber como você se sente sobre isso em 2013?
DOK 16/11