Всем привет!
Сегодня наконец начал работу над давно запланированной переделкой системы ников.
А именно: планируется полностью выпилить анахронизм в виде поля таблицы name_lat и возможно расширить число допустимых символов в самом нике.
На первый взгляд работы не так много, если пробежаться поиском по коду, то name_lat используется довольно редко. Но тем не менее, это повлечет за собой переделку логики авторизации, что я бы и хотел обсудить в этой теме.
В первую очередь, хочу обсудить переход на авторизацию через Email, как в соцсетях.
Достоинство:
1) можно будет использовать практически любые символы в нике.
2) Более надежная авторизация, не забудешь свой логин, а если что, вышлют на Майл, который и является логином.
3) Лучшая защита от перебора: Ваш Email публике не известен и по какому логину надо ломиться никто точно не знает.
Недостаток:
В обязательном порядке нужен Email, похерятся все те учетки, которые не имеют в анкете действующего майл адреса.
Разумеется для такого случая придется писать специальную страницу логина для тех, у кого майл не был указан:
1) Если раньше не указал майл - заходишь по обычному логину.
2) Скрипт перекидывает тебя на страницу, где надо указать Email
3) Будет отправлено проверочное письмо с кодом, или временной ссылкой по которой надо перейти
4) В случае успеха - получаешь доступ к сайту
5) В случае нежелания указать майл - идешь нахуй доступа к сайту не имеешь.
Это самый желательный вариант (логин только через Майл).
Тогда можно будет значительно расширить возможности касающиеся ников, да и со временем сделать логин через Соцсети.
===
Вопрос: есть ли серьезные и АРГУМЕНТИРОВАННЫЕ возражения против логина только через Email?
Как запасной вариант есть возможность логина и по нику и по Email, как у меня уже давно было испытано на mobiCMS, но честно говоря, мне самому такой вариант не сильно нравится.
===
Ну и как третий и самый простой вариант: логин только через Ники, как и было, но с сильным ограничением по символам. Точнее, ограничения останутся те, что были, + добавится невозможность сочетать символы разных языков (к примеру баловаться в одном нике Русскими/Английскими буквами).
Меня всегда пугала возможность отпугнуть потенциальных пользователей, не желающих светить свою почту и которым лень регистрировать леву. А так да, это здравый вариант.
Ещё можно похерить пользователей, к которым не дойдёт письмо с подтверждением. Как тут обезопаситься?
# intelligent (12.02.2017 / 19:10)
Меня всегда пугала возможность отпугнуть потенциальных пользователей, не желающих светить свою почту и которым лень регистрировать леву. А так да, это здравый вариант.
И че, кроме джона еще существуют сайты на которых авторизация проходит не через мыло/телефон?
Нарно прежде чем начинать реализовывать аутентификацию хорошо бы подумать об авторизации
# Delphinum (12.02.2017 / 19:51)
Нарно прежде чем начинать реализовывать аутентификацию хорошо бы подумать об авторизации
эм...
поясни? че о ней думать?
всего два поля, одно пароль, другое любой уникальный ключ для идентификации аккаунта
ramzes, я о правах. Если предполагается просто делить на:
гость - не может ничего
юзер - может все кроме того, что может админ
админ - может все
то без вопросов, а если модель авторизации сложнее (на пример acl), то и аутентификация будет соответствующей.
К примеру из комментов Алька я понял только то, что аутентификация по email нужна только для возможности восстановить пароль. А если я хочу зарегаться на сайте, но мне пох на мой акк и если я его потеряю, то не сильно расстроюсь? В этом случае авторизация по email мне не нужна.
# ramzes (12.02.2017 / 19:45)
И че, кроме джона еще существуют сайты на которых авторизация проходит не через мыло/телефон?
Мобильный сайты всю жизнь без мыла были. По-моему, во всех движках так