Введение
Итак, первым делом, я выбрал доменное имя, ура!
Это https://passwordless.id … теперь «id» — довольно необычное окончание (на самом деле оно означает Индонезия), но я подумал, что оно хорошо подойдет как сокращение от «identity», поскольку именно об этом и пойдет речь в этом приложении.
Без пароля
Аутентификация с помощью TouchID или FaceID для всех. Меньше паролей, больше безопасности!
Для чего это нужно? Речь идет об обеспечении более простой и безопасной аутентификации для широких масс. Каким образом? Например, используя отпечаток пальца или лица для регистрации/входа в систему. И, конечно же, он не отправляется на сервер! Если вы хотите попробовать и узнать больше об этом, просто зайдите на сайт, там есть действительно базовая демонстрация и объяснения.
Что дальше?
Сейчас я разрабатываю «публичный сервис», позволяющий любому человеку регистрироваться/входить в систему без пароля. Это действительно просто и более безопасно (более подробное объяснение смотрите на сайте).
Грубо говоря, веб-сайты будут перенаправлять на https://passwordless.id, если человек не прошел аутентификацию. После аутентификации пользователь будет перенаправлен обратно на исходный сайт с доступом к его информации.
Скриншоты!
Пожалуйста, помните, что все это — пре-альфа версия в разработке. Все еще может сильно измениться.
Первая страница, которую вы видите, — это форма входа/регистрации. Поскольку вход с помощью биометрического устройства сильно отличается от традиционного парольного, добавлен раздел «F.A.Q.».
Как только вы нажмете на него, вам будет предложено ввести биометрические данные, шаблон разблокировки или PIN-код для подтверждения того, что это именно вы. Это зависит от операционной системы, поэтому на Windows/Android/IPhone эта часть будет выглядеть иначе. В данном случае это образец с моего ноутбука под управлением Windows с немецкой локалью.
После этого вы попадете на страницу профиля, который вы можете редактировать и сохранить… после того, как нажмете на ссылку подтверждения электронной почты.
Там, если вы не хотите использовать свой собственный портрет, вы также можете выбрать его из галереи!
И как только вы закончите, вернитесь туда, откуда вы изначально пришли.
…Где вы можете получить доступ к профилю и портрету простым «GET»!
Что касается дизайна и стиля, я долго колебался… И до сих пор сомневаюсь! Должен ли он быть более «корпоративным»? Более нейтральным? Даже цветовым? … Или более уникальным, непохожим, личным? Ну, в конце концов, вот что у меня получилось.
Хотя я еще не полностью убежден, и это может измениться в будущем, на данный момент это «достаточно хорошо»… я думаю.
Почему бы просто не использовать «Войти с помощью Google/Microsoft/Facebook…»?
Это был вопрос, заданный в комментарии к моей предыдущей статье. Тогда я не смог правильно ответить на него, поскольку он не совсем подходил для комментария, но сейчас я постараюсь сделать все возможное.
Опыт разработчика
На самом деле, я исходил из позиции разработчика. Вся эта история с OAuth2, необходимая для того, чтобы заставить эти аутентификации работать, на самом деле удивительно сложна и очень раздражает в реализации. В конце концов, OAuth2 не предназначен для аутентификации, это протокол для авторизации доступа к API. Эти танцы вокруг протокола OAuth2 — одна из тех вещей, которые обычно недооцениваются разработчиками, пока они не попробуют использовать его на практике. Сейчас все уже отлажено, и есть много полезных библиотек, но основная сложность все еще остается.
То, что я хочу предложить взамен, — это сверхпростой механизм аутентификации, который интуитивно понятен и тривиален для разработчиков. Простой «GET» для получения профиля пользователя и простое перенаправление, если пользователь не аутентифицирован или требует одобрения.
Безопасность
С точки зрения пользователя, преимущества менее очевидны, но все же существуют.
Поскольку протокол основан на секретных ключах, хранящихся на физическом устройстве, вы можете быть уверены, что его невозможно взломать/отмыть/похитить. Нет пароля, который можно украсть, и вам придется украсть устройство пользователя, чтобы получить доступ к его учетной записи.
Подождите! А если я потеряю свое устройство или захочу получить доступ к нему из другого места? Ну, вы по-прежнему можете регистрировать новые устройства по телефону, подтверждая его через другое зарегистрированное устройство, даже через обычную электронную почту, если вы считаете, что это достаточно безопасно, с дополнительными проверками безопасности или без них и т.д. Пользователь сам выбирает уровень защиты.
Конечно, если телефон/компьютер принадлежит кому-то другому, вы также можете просто запросить временную сессию аналогичным способом вместо авторизации самого устройства.
Конфиденциальность
Возможно, вы не хотите, чтобы Google, Microsoft, Facebook (и т.д.) знали все, что вы делаете, и все сайты, на которых вы зарегистрированы. Они известны своей обширной системой слежения, и некоторым людям это не нравится.
Кроме того, существует мало возможностей для «фильтрации» информации. Например, вы можете захотеть, чтобы они знали ваш ник, но не имя/фамилию… ну, вы не можете этого сделать. Веб-сайты получают доступ ко всему вашему профилю или ничего.