Quels sont les avantages (et les inconvénients) de l'utilisation de «Se connecter avec Twitter / Facebook» pour un nouveau site Web? [fermé]

Moi-même et un ami cherchons à lancer un petit site de forum. J'envisage d' utiliser les API «Se connecter avec Facebook / Twitter», éventuellement exclusivement (à la manière de Lanyrd , par exemple ) pour la connexion des utilisateurs. Je n'ai jamais utilisé aucun de ceux-ci auparavant, ni géré un site avec des connexions d'utilisateurs.

Quels sont les avantages (et les inconvénients) de ces API? Plus précisément:

1. Quels avantages puis-je obtenir en tant que développeur en les utilisant? Quels sont les inconvénients?

2. Les utilisateurs finaux les aiment-ils / n'aiment-ils pas?

3. Avez-vous rencontré des problèmes techniques / logistiques avec ces API en particulier?

Voici les avantages et les inconvénients que j'ai jusqu'à présent:

Avantages

• Plus pratique pour l'utilisateur («inscrivez-vous» en deux clics, connectez-vous en un)
• Peut-être pas besoin de maintenir notre propre système de connexion

 Les inconvénients

• Aucun contrôle sur notre processus de connexion
• Exclure les utilisateurs de Facebook / Twitter qui craignent que nous ayons une sorte d'accès à leurs comptes
• Les comptes des utilisateurs sur notre site sont compromis si leurs comptes Facebook / Twitter sont compromis.
• Et si nous ne maintenons pas notre propre système de connexion alternatif:
  • Dépendance sur Facebook / Twitter pour notre système de connexion
  • Exclure les utilisateurs non Facebook / non Twitter de notre site

Un inconvénient que je dirais est qu'un utilisateur peut être paranoïaque car maintenant qu'il s'est connecté à votre site en utilisant ses informations d'identification Facebook / Twitter, il pense que votre site a un accès complet à toutes ses informations sur ces comptes respectifs.

Veuillez ne pas le faire.

Beaucoup de gens, en particulier ceux qui ne sont pas basés aux États-Unis, n'auront pas de compte Facebook et n'en créeront pas un qui se souviendra de tout ce qui a été dit concernant Facebook et son ignorance de la confidentialité des utilisateurs.

Contrairement à ce que beaucoup croient, il y a beaucoup de gens qui vivent joyeusement sans ces bruits sociaux et ces sites indésirables et ne s'en soucient pas.

Pourquoi les cracher au visage et les rejeter juste parce qu'ils n'ont pas succombé à l'hystérie de masse appelée Facebook?

Autres points à considérer:

1. Vous introduirez un point de défaillance unique en le rendant dépendant d'un système externe. S'ils décident de fermer leur OpenID ou de vous le faire payer, vous êtes massivement foutu.

2. Ils collecteront des données sur vos utilisateurs et qui sait quoi en faire. À tout le moins, ils l'utiliseront à des fins de marketing et gagneront finalement de l'argent dessus et ils ne vous donneront pas une part du gâteau.

3. En les prenant comme fournisseur OpenID, vous soutiendrez davantage leur quasi-monopole et les aiderez à se développer encore plus. Faites un service communautaire et ne contribuez pas à ce fléau.

Autre inconvénient: excluez les utilisateurs non Facebook et non Twitter (ou les utilisateurs qui ne se sentent pas en sécurité de partager leurs informations de connexion avec d'autres sites). Ou leur causer des désagréments en leur faisant créer un compte externe. Personnellement, je n'aime pas l'idée d'un point de défaillance unique selon laquelle si quelqu'un obtient mes informations de connexion Facebook / Twitter, il peut accéder à tout autre site qui utilise les mêmes informations. Mais peut-être que je suis juste paranoïaque.

Je peux voir qu'il est utilisé en option , mais vous perdriez beaucoup de visiteurs potentiels si vous aviez besoin d'une connexion FB ou Twitter. Même si les visiteurs ont des comptes FB, beaucoup ne voudront pas les utiliser à des fins de confidentialité. Je ne voudrais certainement pas donner à un site aléatoire des informations d'identification personnelle.

Et vous aurez probablement toujours besoin d'une certaine forme de système de suivi des utilisateurs, car vous souhaiterez peut-être suivre les informations des utilisateurs liées à votre site, telles que les préférences.

Un site que je fréquente a son propre système de connexion local / comptes d'utilisateurs, mais les utilisateurs ont la possibilité de lier leur compte à un compte Facebook s'ils le souhaitent. Ainsi, pour ces personnes, elles ont l'avantage de se connecter facilement si elles le souhaitent, et personne n'est obligé d'utiliser une connexion Facebook s'il ne le souhaite pas. Cela fonctionne assez bien, je dirais.

J'ai joué avec OpenID, Facebook et Twitter pour les connexions. Une fois, je le testais et je ne pouvais pas me connecter avec Facebook pour une raison quelconque. Après avoir regardé la page des développeurs Facebook, j'ai remarqué que leur serveur API était en panne. C'est donc un gros inconvénient lorsque les utilisateurs ne peuvent pas se connecter car Facebook connaît des temps d'arrêt. Twitter pourrait avoir les mêmes problèmes, tout comme OpenID.

Cela dépend vraiment de votre marché cible. Par exemple, dans certains marchés cibles, cette préoccupation «exclure les non-utilisateurs» est minime (presque tous les utilisateurs en ont et sont heureux de partager). Dans d'autres, c'est un énorme problème.

Vous pouvez le voir ici dans les réponses: Les programmeurs ont tendance à être très prudents avec la sécurité et ne veulent pas donner accès, d'où tout le "NON!" réponses :-p Les non-techniciens sont moins prudents à ce sujet.

Mais la réponse évidente est de faire à la fois fb / twitter et votre propre système si vous le pouvez. Alors tout le monde est content.

J'ai un compte Facebook mais face à un site qui veut que je me connecte en l'utilisant, je n'en ai pas. S'il existe une autre méthode, je l'utilise. Sinon, je ne veux pas vraiment voir ce qu'il y a sur ce site de toute façon. Je déteste aller sur des sites et voir ce que d'autres amis Facebook ont ​​fait sur ce site également, c'est effrayant et intrusif de votre vie privée (surtout lorsque je ne me suis pas connecté via Facebook ou que je n'ai pas informé le site de mon compte Facebook).

Un inconvénient à le faire uniquement de cette façon - comment tester localement sans dépendances externes complexes? Comment configurez-vous des comptes de test aléatoires? Comptes de démonstration? Comptes d'utilisateurs non humains? En règle générale, vous avez besoin d'un schéma d'authentification local pour couvrir ces permutations, même si l'espoir est que la plupart des utilisateurs stockent les informations d'identification en externe.

Le plus important - si vous n'avez pas de connexion Internet, vous ne pouvez même pas pirater, et encore moins faire du travail matériel, sur votre application. Et, lorsque vous avez des bogues dans l'authentification ou l'autorisation, comment pouvez-vous être sûr que ce n'est pas un problème facebook / twitter / autre oauth si vous ne pouvez pas exécuter quelque chose de simple et local pour vous assurer que votre code est correct?

Je dirais que l'utilisation d'un système de connexion externe peut très bien fonctionner - regardez comment openID nous a utilisé sur stackoverflow et stackexchange. L'avantage est grand: vous n'avez pas à coder tout le système de connexion, ce qui est un gros morceau de la base de code initiale que vous pouvez simplement ignorer, et vous n'avez aucune chance de vous tromper, et peut laisser quelqu'un d' autre demander quel type de mot de passe est suffisant, comment le réinitialiser, etc. Et s'ils ont déjà un openid quelque part (soit à partir d'un compte de blog, soit celui qu'ils ont configuré pour accéder au stackoverflow), ils n'ont pas besoin de se souvenir d'une autre combinaison nom d'utilisateur / mot de passe.

Les inconvénients sont que de nombreux utilisateurs trouvent cela un peu déroutant et peuvent ne pas vouloir créer un openid sur un site externe s'ils ne l'ont pas déjà utilisé.

L'utilisation d'une connexion Facebook présente tous ces avantages, ainsi que la possibilité d'interfacer avec leur compte Facebook s'ils le permettent.

L'inconvénient est que si vous comptez exclusivement sur Facebook, vous vous liez à eux: si Facebook change jamais son API ou bannit votre site, ou des utilisateurs comme moi refusent de se connecter à un site qui peut partager des données Facebook (qui sont connu pour ne pas être très prudent lorsqu'il s'agit de ne pas divulguer ces données à d'autres entreprises). Notez que l'IIRC, même en ayant un lien « J'aime » ou «Connexion» sur votre page Facebook permettra à Facebook de suivre les utilisateurs connectés qui consultent votre site, à la double-clic.

Je dirais donc:

• idéalement, vous autoriseriez les connexions avec plusieurs sites externes: sites openID, facebook, google, etc.
• si vous avez un formulaire de connexion facebook, vous ne le mettez pas directement sur la première page, affichez-le uniquement lorsque les utilisateurs cliquent sur "se connecter avec facebook" (je ne vais jamais me plaindre d'avoir la possibilité de le faire :)) .
• Pour commencer, décidez lequel est le plus rapide à configurer, comptes et mots de passe, ou openID ou autre chose.
• Décidez si cela vaut la peine d'ajouter des comptes et des mots de passe, si vous disposez d'une connexion externe. (Mais assurez-vous d'avoir au moins deux connexions externes)

Je suis à tout le moins méfiant des têtes d'affiche des médias sociaux, et en particulier de Facebook pour leur mépris libéral pour le partage facultatif d'informations. Cette méfiance a un facteur aggravant: la grande majorité des applications que j'ai rencontrées demandent toutes mes informations, puis des informations sur toutes les personnes que je connais pour participer à leur contexte d'application. Balivernes. Les entretiens avec les autorités de sécurité demandent beaucoup d'informations, comme la plupart s'y attendraient, mais ne se rapprochent même pas de ce que FB "exige". J'ai un compte, mais son stock, utilisé uniquement pour les fonctionnalités de base.

Cela étant dit, j'aime Id fédéré dans le concept et la pratique (comme openid et open auth en général). Je pense que l'utilisation des fournisseurs pris en charge par les principaux fournisseurs de messagerie Web est difficile à discuter du point de vue de l'utilisateur, pour plusieurs raisons. Premièrement, les avantages évidents de l'ID fédéré (comme moins de paires d'informations de connexion à mémoriser ou à gérer autrement avec une autre application de magasin d'informations de connexion locale ou un complément). Deuxièmement, je fais confiance à mon fournisseur de messagerie pour faire un assez bon travail de protection de mes informations personnelles (et par conséquent, ma boîte de réception) tant que je fais ma part pour protéger mes informations d'identification (force du nom d'utilisateur / passe et contrôler judicieusement l'exposition).

Je pourrais envisager d'autres fournisseurs d'ID fédéré, mais ils devraient être convaincants, conformément à l'objectif de l'ID fédéré.

Enfin, intégrer une multitude de prestataires n'est pas forcément aisé. L'équipe stackexchange a commenté les défis il y a quelque temps. Si je n'étais pas sur un appareil mobile, je ferais la recherche pour vous.

Meh, je suis apparemment dans un autre camp. Pour moi, le concept de Facebook est celui qui résistera à l'épreuve du temps. Peut-être que ce ne sera plus Facebook à l'avenir, qui sait. Cependant, au-delà des préoccupations des théoriciens du complot en matière de confidentialité (vous pouvez contrôler votre vie privée), mon avis est que ce type de service deviendra "utilitaire". En ce que vous décrochez votre téléphone pour appeler quelqu'un, vous vous précipitez dans votre boîte aux lettres pour récupérer le courrier ... vous "Facebook" vos démons pour entrer en contact.

Nous constatons déjà un trafic de messagerie considérablement réduit maintenant que les gens se «Facebook» à la place. Ce n'est qu'une question de temps, mais l'utilisation des e-mails continuera de diminuer.

Gardez également à l'esprit que les types de personnes que vous souhaitez connecter à votre système peuvent très bien être ceux qui auraient un compte Facebook. Ceux qui ne le font généralement pas (d'après mon expérience) ne vont pas "participer" de toute façon à votre site (ou à n'importe quel site d'ailleurs).

Le fait est que, qu'il s'agisse de Facebook ou non, un système où tout le monde peut communiquer instantanément avec des personnes qu'il approuve, sera le meilleur candidat pour un système de "connexion unique" sur Internet. Vous ne pouvez pas simplement ignorer "l'inscription en 2 clics et la connexion sans clics / en 1 clic" en tant que petits pros, ils sont ÉNORMES!

Pour les personnes préoccupées par la confidentialité, que mettez-vous sur votre profil Facebook qui pourrait être préjudiciable s'il était pris? Pourquoi le mettez-vous là-bas?

Mon vote (pour ce que ça vaut) est parti! Allez sauvage, remplacez complètement votre système d'adhésion par un système Facebook uniquement. Je l'ai, et mes utilisateurs l'aiment jusqu'à présent .