Чем пользоваться для входа на сайт через соцсети?

ksnk

прохожий
Было 3 относительно законных способа
- поставить Loginza
- поставить uLogin
- пройти через регистрацию кучи приложений в каждой соцсети и внимательно следить, чтобы эти приложения не сдохли через пару лет

Первый обломался, так как с 2016, если не путаю, года логинзу купил Яндекс и тихонечко убил.
Второй сейчас тупо обломался, так как uLogin начинают блокировать блокировщики рекламы. Что-то они там сливают Али или еще куда.
Третий слишком геморройный.

А кто и чем сейчас пользуется для входа на сайт через соцсети ?
 

grigori

( ͡° ͜ʖ ͡°)
Команда форума
вопрос намного сложнее, чем "пользоваться для входа"
на самом деле, вопросов два, и каждый из них сложный:
1. регистрация
2. аутентификация


нельзя просто взять и войти на сайт через соцсеть, сначала на сайте надо создать учетную запись пользователя, а соцсеть может предоставить только часть информации, которая нужна сайту, и эту анкету регистрации пропустить на самом деле не получается

а что можно? можно только привязать аккаунт юзера в соцсети к аккаунту на сайте чтобы в будущем проще проходить аутентификацию, прикрутить OAuth,
а системы, которые дают OAuth - это не совсем соцсети, основные - это google, apple, ms, fb, vk, и еще десятки специализированных, вроде github, habr, samsung, ibm, oracle
к ним стоит добавить telegram, viber и whatsapp

ко всему этому добавляется совершенно разный уровень требований к безопасности - в том числе, PCI DSS,
и требований работы с персональными данными - GDPR, законы РФ, законы Китая, которые для каких-то сайтов обязательны, а для чисто американских стартапов - вообще пофиг

т.о. для каждого сайта чуть сложнее личного блога получаем собственный уникальный набор механизмов регистрации и аутентификации, так что, единственный проект, который пытается с этим связываться - auth0
 

ksnk

прохожий
Вспомнился анекдот.
Летят Холмс и Ватсон на воздушном шаре. Заблудились и спрашивают прохожего
— Скажите, любезнейший, а где мы находимся? — спрашивает доктор Ватсон.
Тот, подумав отвечает:
— В гондоле воздушного шара.
Новый порыв ветра подхватывает шар, и Шерлок Холмс с доктором Ватсоном летят дальше.
— Ох, уж эти математики! — восклицает Холмс.
— Постойте, Холмс, но как вы догадались?
— Это элементарно, Ватсон! Он ответил, подумав. И дал совершенно верный, но совершенно бесполезный ответ.
Хотя, вероятнее всего, ответ будет - только хардкор с гемором наше все (мой 3 вариант)...

Надо ли объяснять почему Oauth по сравнению с uLogin - гемор? Вот вы не спросили, а я таки отвечу :)

В случае uLogin дело решалось скриптом-приемником токена от uLogin на сайте (меньше 100 строк с комментариями) и парой строк в шаблонах на страничках.

Поставим гугл, vk, яндекс, mail.ru через Oauth. Для каждого сервиса нужно в личном кабинете разработчика этой соцсети зарегистрировать НОВОЕ приложение и чего-то там ему разрешить, потом в нужные места РАЗНЫХ скриптов доступа к соцсетям ставить полученные ключики-токены. Для каждой соцсети требуется свои собственные комплекты скриптов, нередко по размеру большие чем сам сайт... С кабинетами тоже фигня, мне нужно либо у хозяина сайта затребовать все его входы на все соцсети, либо лепить это все в моих собственных личных кабинетах, либо заводить чистые ящики в соцсетях и передавать их заказчику.
 

grigori

( ͡° ͜ʖ ͡°)
Команда форума
выгодно ли создавать в проекте в зависимость аутентификации пользователей от uLogin или другого стороннего сервиса, надо решать для каждого проекта индивидуально, для mvp это может иметь смысл, а для систем с бюджетом разработки более $100k это будет опасной уязвимостью
 

флоппик

promotor fidei
Команда форума
Партнер клуба
Было 3 относительно законных способа
- поставить Loginza
- поставить uLogin
- пройти через регистрацию кучи приложений в каждой соцсети и внимательно следить, чтобы эти приложения не сдохли через пару лет

Первый обломался, так как с 2016, если не путаю, года логинзу купил Яндекс и тихонечко убил.
Второй сейчас тупо обломался, так как uLogin начинают блокировать блокировщики рекламы. Что-то они там сливают Али или еще куда.
Третий слишком геморройный.

А кто и чем сейчас пользуется для входа на сайт через соцсети ?
Щас Auth0 популярный, он отличный в целом, правда хз как у него с российскими сервисами, если они нужны.
 
  • Like
Реакции: ksnk

ksnk

прохожий
Щас Auth0 популярный
Спасибо! Да, интересно, в закладочку определил и аккаунт там завел. Смотрю, втыкаю. Пока нравится.
Но, к сожалению, с российскими мэйлу, фконтактами и однокласниками там примерно никак. Так что для простой замены Юлогина не подойдет. Да и денег там хотят за 1000+ входов в месяц, так что для персонального использования годно, а вот для более менее сайта - уже требуется уточнять бюджет...

P.S. Вконтакт там есть, извиняюсь, сразу не увидел, а вот mail.ru вроде нет :)
 
Последнее редактирование:

ksnk

прохожий
На стартере - бесплатном их тарифе
Machine to Machine Authentication - 1000
. Тоесть 1000 раз можно нажать на соц кнопку в месяц всем посетителям сайта. Понятно, что можно сохранять на месяц входящих в "запомнить меня" и экономить на таких кликах, но все равно больше 1000 уникальных посетителей в месяц на халяву не получить.
Я не слежу, но разве это теперь не одно и тоже?
Я тоже не слежу, но на том же юлогин 3 разные кнопки. И их же мне подпихивают, по традиции, в ТЗ. :) Жизнь - боль!

P.S. Да, раздельные юзеры, а не попытки входа. Входов, вроде, не оолее 7000
 
Последнее редактирование:

ksnk

прохожий
Ссылки местами странные, местами дохлые (на ту же логинзу, где отключена регистрация). Но в гугле по имени сервиса вполне находятся, так что очень полезно.
HybridAuth уже утащил, не для входа в соцки, но в хозяйстве пригодится. Вокруг FusionAuth буду ходить - облизываться. Чем я хуже юлогина? )))
 

флоппик

promotor fidei
Команда форума
Партнер клуба

AmdY

Пью пиво
Команда форума
Там просто ценник вероятно ниже чем серф-хостед стоит обычно
Иногда дело не в цене, а в безопасности и вендор локе. Разместить у себя и иметь доступ к коду в таких случаях критически важно. Скорее всего ещё варианты должны быть, штука довольно востребованная. Проблема только в том, что интеграции любят своё апи менять (
 

флоппик

promotor fidei
Команда форума
Партнер клуба
Иногда дело не в цене, а в безопасности и вендор локе. Разместить у себя и иметь доступ к коду в таких случаях критически важно. Скорее всего ещё варианты должны быть, штука довольно востребованная. Проблема только в том, что интеграции любят своё апи менять (
Ну самому-то иметь несложно, там просто собственныь мантейнинг приложений, регистрируемых у вендоров аутентификации, сьедает не так мало сил, как кажется, как верно @ksnk заметил.
 

grigori

( ͡° ͜ʖ ͡°)
Команда форума
вы серьезно рассчитываете на простое решение одной из самых сложных задач в области безопасности? :)
 

ksnk

прохожий
@grigory, вопрос безопасности сайта, прямо зависит от бюджета на разработку и хотелок в ТЗ.
Мой случай - достаточно простой лендинг, пусть даже продающий через сбербанк-оплату пару-тройку товаров, с формами обратной связи, мониторингом активности и минимальной админкой. Время от получения макета до сдачи проекта - неделя, вместе с тестовой обкаткой сайта. Более того, единственной задачей аутентификации и авторизации для этого сайта станет максимально быстро и удобно для посетителя предоставить хозяину сайта email/телефон посетителя для дальнейшего общения. Двухфакторные авторизации и какие-то другие мутные схемы просто тупо не нужны. Регистрироваться на сайте традиционной парой логин-пароль просто не нужно (хотя и возможно). Подделка входа на сайт никому никакой прибыли или утечки важной информации не может принести.
Именно для таких случаев, когда время разработки минимально, а бюждет ограничен - фришные или минимально фришные схемы с доступом через соцсети выглядят практически идеально. Но только если они просты и доступны. А вот их отдельная настройка для каждодго такого сайта совершенно неприемлема. Не влазит в бюджет.
 
Сверху