Quais são os prós (e os contras) do uso de "Entrar com Twitter / Facebook" em um novo site? [fechadas]

Eu e um amigo estamos procurando lançar um pequeno site no fórum. Estou pensando em usar as APIs "Entrar com o Facebook / Twitter", possivelmente exclusivamente (como o Lanyrd ), para o login do usuário. Eu nunca usei nenhum desses antes, nem executei um site com logins de usuário.

Quais são os prós (e os contras) dessas APIs? Especificamente:

1. Quais benefícios eu recebo como desenvolvedor ao usá-los? Quais são as desvantagens?

2. Os usuários finais realmente gostam / não gostam deles?

3. Você já teve problemas técnicos / logísticos com essas APIs especificamente?

Aqui estão os prós e contras que tenho até agora:

Prós

• Mais conveniente para o usuário ("registre-se" com dois cliques, entre com um)
• Possivelmente não há necessidade de manter nosso próprio sistema de login

 Contras

• Sem controle sobre nosso processo de login
• Excluir usuários do Facebook / Twitter que estejam preocupados com o acesso a suas contas
• As contas dos usuários em nosso site ficam comprometidas se as contas do Facebook / Twitter estiverem comprometidas.
• E se não mantemos nosso próprio sistema alternativo de login:
  • Dependência do Facebook / Twitter para o nosso sistema de login
  • Excluir usuários que não sejam do Facebook / que não sejam do Twitter do nosso site

Um truque que eu diria é que um usuário pode ficar paranóico por agora ter feito login no seu site usando suas credenciais do Facebook / Twitter e achar que seu site tem acesso total a todas as informações nessas contas.

Por favor, não faça isso.

Muitas pessoas, especialmente as que não estão nos EUA, não terão uma conta no Facebook e não criarão uma lembrando tudo o que foi dito em relação ao Facebook e seu desconhecimento da privacidade dos usuários.

Ao contrário do que muitos acreditam, há muitas pessoas que vivem felizes sem esses ruídos sociais e sites indesejados e não dão a mínima para eles.

Por que cuspi-los na cara e rejeitá-los apenas porque não sucumbiram à histeria em massa chamada Facebook?

Outros pontos a considerar:

1. Você apresentará um único ponto de falha, tornando-o dependente de um sistema externo. Se eles decidirem fechar o OpenID ou fazer com que você pague por isso, você ficará ferrado.

2. Eles coletarão dados sobre seus usuários e quem sabe o que fazer com eles. No mínimo, eles o usarão para fins de marketing e, finalmente, ganharão dinheiro com isso e não lhe darão um pedaço da torta.

3. Ao tomá-los como um provedor OpenID, você apoiará ainda mais seu quase monopólio e os ajudará a crescer ainda mais. Faça um serviço comunitário e não contribua para essa praga.

Outra desvantagem: excluir usuários que não são do Facebook e que não são do Twitter (ou usuários que simplesmente não se sentem seguros ao compartilhar suas informações de login em outros sites). Ou causar-lhes inconveniência, fazendo-os criar uma conta externa. Pessoalmente, não gosto da ideia de ponto de falha única de que, se alguém obtiver minhas informações de login no Facebook / Twitter, poderá entrar em qualquer outro site que use as mesmas informações. Mas talvez eu seja apenas paranóico.

Eu posso ver isso sendo usado como uma opção , mas você perderia muitos visitantes em potencial se exigisse um login no FB ou no Twitter. Mesmo se os visitantes tiverem contas no FB, muitos não desejarão usá-las para fins de privacidade. Eu certamente não gostaria de dar a algum site aleatório informações de identificação pessoal.

E você provavelmente ainda precisará de alguma forma de sistema de rastreamento de usuários, pois pode acompanhar as informações do usuário relacionadas ao seu site, como preferências.

Um site que eu frequente tem seu próprio sistema de login local / contas de usuário, mas os usuários têm a opção de vincular sua conta a uma conta do Facebook, se assim o desejarem. Portanto, para essas pessoas, elas têm os benefícios de fazer login facilmente, se quiserem, e ninguém é forçado a usar um login no Facebook, se não quiserem. Funciona muito bem, eu diria.

Eu brinquei com o uso de OpenID, Facebook e Twitter para logins. Uma vez, eu estava apenas testando e não consegui acessar o Facebook por algum motivo. Depois de olhar para a página do desenvolvedor do Facebook, notei que o servidor de API estava inativo. Portanto, essa é uma grande desvantagem quando os usuários não conseguem fazer login porque o Facebook está tendo algum tempo de inatividade. O Twitter pode ter os mesmos problemas, assim como o OpenID.

Realmente depende do seu mercado-alvo. Por exemplo, em alguns mercados-alvo, a preocupação de "excluir não usuários" é pequena (quase todos os usuários os têm e têm prazer em compartilhar). Em outros, é um problema enorme.

Você pode vê-lo aqui nas respostas: Os programadores tendem a ser muito cuidadosos com a segurança e não querem dar acesso; portanto, todo o "NÃO!" respostas :-p Pessoas não técnicas são menos cuidadosas com isso.

Mas a resposta óbvia é fazer o fb / twitter e seu próprio sistema, se puder. Então todo mundo está feliz.

Eu tenho uma conta no Facebook, mas quando me deparo com um site que deseja que eu faça o login, não o faço. Se houver um método alternativo, eu o usarei. Caso contrário, eu realmente não quero ver o que há nesse site. Eu odeio ir a sites e ver o que outros amigos do Facebook fizeram nesse site também, é assustador e intrusivo à sua privacidade (especialmente quando eu não entrei no Facebook nem contei ao site minha conta no Facebook).

Um problema é fazê-lo dessa maneira - como você testa localmente sem dependências externas complexas? Como você configura contas de teste aleatórias? Contas de demonstração? Contas de usuário não humanas? Normalmente, você precisa de um esquema de autenticação local para cobrir essas permutações, mesmo que a esperança seja que a maioria dos usuários armazene credenciais externamente.

O mais importante - se você não possui uma conexão com a Internet, não pode nem mesmo invadir, e muito menos fazer trabalho material, no seu aplicativo. E, quando você tem bugs na autenticação ou autorização, como pode ter certeza de que não é um problema do facebook / twitter / outro oauth se você não pode executar algo simples e local para garantir que seu código esteja correto?

Eu diria que o uso de um sistema de logon externo pode funcionar muito bem - veja como o openID us usado no stackoverflow e stackexchange. A vantagem é grande: você não precisa codificar todo o sistema de logon, que é uma grande parte da base de código inicial que você pode simplesmente ignorar e não tem a chance de errar, e pode deixar alguém outra preocupação sobre que tipo de senha é suficiente, e como redefini-la, e assim por diante. E se eles já tiverem um openid em algum lugar (a partir de uma conta de blog ou configurada para acessar o fluxo de pilha), não precisarão se lembrar de outra combinação de nome de usuário / senha.

As desvantagens são que muitos usuários acham um pouco confuso e podem não querer criar um openid em um site externo, caso ainda não o tenham usado.

O uso de um login no facebook tem todos esses benefícios, além da oportunidade de interagir com a conta do facebook, se eles permitirem.

A desvantagem é que, se você confiar exclusivamente no Facebook, estará se atando a eles: se o Facebook mudar sua API ou banir seu site, ou usuários como eu se recusam a fazer login em um site que pode compartilhar dados do Facebook (que são conhecido por não ser muito cauteloso quando se trata de não vazar esses dados para outras empresas). Observe que o IIRC, mesmo tendo um link " curtir " ou "logon" na sua página, permitirá que o Facebook rastreie quais usuários logados visualizam seu site, com apenas um clique duplo.

Então, eu diria:

• idealmente, você permitiria logins com vários sites externos: sites openID, facebook, google, etc.
• se você possui um formulário de login no facebook, não o coloca na primeira página, apenas o exibe quando os usuários clicam em "fazer login com o facebook" (nunca vou reclamar por ter a opção de fazê-lo :)) .
• Para começar, decida qual é o mais rápido para configurar, contas e senhas ou openID ou qualquer outra coisa.
• Decida se vale a pena adicionar contas e senhas também ou não, se você tiver login externo. (Mas certifique-se de ter pelo menos um login externo)

Sou, no mínimo, cauteloso com as principais mídias sociais e, especialmente, com o Facebook por seu desprezo liberal pelo compartilhamento eletivo de informações. Essa desconfiança tem um fator composto que a aparentemente vasta maioria dos aplicativos que encontrei solicita todas as minhas informações e, em seguida, as informações sobre todos os que eu conheço para participar de seu contexto de aplicativos. Baloney. As entrevistas de autorização de segurança do governo pedem muitas informações, como a maioria esperaria, mas nem chegam nem perto do que o FB "exige". Eu tenho uma conta, mas seu estoque, usado apenas para os principais recursos.

Dito isto, eu gosto do Id federado no conceito e na prática (como openid e open auth em geral). Penso que é difícil argumentar com o uso dos provedores suportados pelos principais provedores de webmail da perspectiva do usuário, por algumas razões. Um, benefícios óbvios do ID federado (como menos pares de informações de login para lembrar ou gerenciar com outro aplicativo ou suplemento local de armazenamento de informações de login). Segundo, confio no meu provedor de e-mail para fazer um bom trabalho de proteção de minhas informações pessoais (e consequentemente, da minha caixa de entrada), desde que eu faça minha parte de proteger minhas credenciais (força do nome de usuário / senha e controlar criteriosamente a exposição).

Eu poderia considerar outros provedores de ID federado, mas eles teriam que ser convincentes, de acordo com o objetivo do ID federado.

Por fim, integrar uma infinidade de fornecedores não é necessariamente fácil. A equipe stackexchange comentou sobre os desafios há um tempo. Se eu não estivesse em um dispositivo móvel, faria a pesquisa por você.

Meh, aparentemente estou em outro campo. Para mim, o conceito de Facebook é aquele que resistirá ao teste do tempo. Talvez não seja o Facebook no futuro, quem sabe. No entanto, indo além das preocupações dos teóricos da conspiração da privacidade (você pode controlar sua privacidade), minha opinião é que esse tipo de serviço se tornará "utilitário". Como você pega o telefone para ligar para alguém, sai correndo para a sua caixa de correio para pegar o correio ... você "entrará no Facebook" com seus amigos para entrar em contato.

Já estamos enfrentando um tráfego de e-mail significativamente reduzido, agora que as pessoas se "Facebook". É apenas uma questão de tempo, mas o email continuará diminuindo em uso.

Além disso, lembre-se de que os tipos de pessoas que você deseja fazer logon no seu sistema podem muito bem ser aqueles que teriam uma conta no Facebook. Aqueles que não participam, normalmente (de acordo com a minha experiência), não vão "participar" do seu site de qualquer maneira (ou mesmo de qualquer site).

O fato é que, seja o Facebook ou não, um sistema no qual todos possam se comunicar instantaneamente com as pessoas que aprovarem será o melhor candidato para um sistema de "logon único" na Internet. Você não pode simplesmente descartar "o registro com 2 cliques e o login sem clicar / 1 clique" como pequenos profissionais, eles são ENORMES!

Para as pessoas preocupadas com a privacidade, o que você está colocando no seu perfil do Facebook que pode ser prejudicial se levado? Por que você está colocando isso lá fora?

Meu voto (pelo que vale a pena) é ir em frente! Fique louco, substitua completamente seu sistema de associação por um sistema exclusivo do Facebook. Eu tenho, e meus usuários gostam até agora .