新型SEO思维就是从一个全新的层次上提升seo优化的水平,达到网络信息最佳化的展示效果!
马海祥博客 > 今日话题 > 网站无密码登录真的是最佳登录模式吗?

网站无密码登录真的是最佳登录模式吗?

时间:2012-10-05   文章来源:www.mahaixiang.cn   访问次数:

最近一直想把自己的博客安装个用户注册登陆模块,这样就可以让网友发表一下自己的观点,可是为了网站页面最简化、本网站又是个人经验博客等一些因素,一直都未做这个功能。现在大部分的网站,都要求用户登录,但对于一些第一次访问网站的人来说,发表观点之前又要先注册,很多的cms管理系统的注册又是很繁琐的,对于用户来说记录密码也是一件很烦的事,所以我一直在想,我们能不能做一种不需要密码就可以登录的模式呢?那这种模式到底要怎么样的展现才是最方便、体验度最好的呢?

常见的做法,是让用户注册一个账户。

网站的无密码登录

这种做法并不让人满意。

对于用户来说,每个网站必须记住一个密码,非常麻烦;对于开发者来说,必须承担保护密码的责任,一旦密码泄漏,对网站的业务和信誉都是巨大打击。所以,很早以前,人们就开始设想"无密码登录"(password-less login)。这对用户和网站,都将是极大的减负。

本文先回顾"无密码登录"的几种常见做法,然后探讨一种最简单的实现。

一、OpenID

OpenID是最早提出的一种无密码登录。

网站的无密码登录

它的设想是这样的:互联网上每一个网址(URL),都指向一个独一无二的网页,这说明网址具有唯一性。因此,可以用网址来标识用户。所以,使用OpenID的网站,不要求用户输入"用户名",而要求用户输入一个代表其身份的网址。然后,向该网址进行求证,如果得到证实,就允许用户登录,从而实现"无密码登录"。

OpenID有两个很大的缺点:一是需要服务器端支持;二是使用网址表示身份,违背直觉,普通用户难以理解。因此,始终无法得到推广。

二、第三方账户

OpenID的实质,是让第三方网站认证用户身份。那么很显然,这等同于用户在第三方网站登录。

因此,可以直接告诉用户,使用第三方帐号登录(前提是对方支持OpenID)。

这样做的优点是比较直观,用户容易接受;缺点是自身的业务,从此多多少少要依赖第三方网站。比如,现在很多网站使用Facebook帐号登录,一旦Facebook出现故障,这些网站都会受到影响。

三、Persona

去年,Mozilla提出了Persona方案,号称是无密码登录的终极解决方案。

网站的无密码登录

它与OpenID异曲同工。后者用网址标识用户,它用Email标识用户。用户键入Email地址以后,网站向Email服务器请求认证。

虽然这种方案还处在推广期,效果有待观察。但是,我目前不太看好它。一则,它的技术要求和流程,比OpenID更复杂,无法用一句话讲清楚;二则,它要求服务器端支持,很难想象世界上大部分Email服务器都会部署Persona代码。

四、OAuth

OAuth协议其实与"第三方帐户"是一回事。

网站的无密码登录

"第三方账户"是第三方网站提供用户身份认证,属于"认证"服务(authentication);OAuth则是更进一步,第三方网站允许你直接操作它的用户数据,属于"授权"服务(authorization)。

因为涉及到用户数据的改变,所以OAuth认证比Openid认证要求更严格。通常,只有针对某个第三方网站的外部服务,才需要用到OAuth;如果只是单纯地区分用户身份,其实没必要用它。

五、Email一次性登录

上面四种登录方法,是目前主流的"无密码登录"。可最近美国程序员Ben Brown在今年7月份提出来一个新的模式。他的做法很简单。用户登录的时候,只显示一个Email地址输入框。

网站的无密码登录

用户输入Email地址以后,网站就向该地址发出一封邮件,里面包含了一个登录链接。用户点击这个链接,就证明他/她确实是这个邮箱的主人,身份有效,从而实现登录。

登录链接只在一段时间内有效,但是可以通过cookie,让用户长时间处在登录状态。如果cookie失效,则重新向用户邮箱发出另一个登录链接即可。

由于整个认证过程,都通过电子邮件完成,彻底实现"无密码登录",而且操作流程很自然,易于理解。更重要的是,它使用现有的Email协议,不需要服务器端部署新的代码,具有最好的兼容性。

不过为了保证安全,上面的登陆链接应该有一个生命期,只能被使用一次,或者在一小段时间内有效。这些链接可以被存储在浏览器的历史记录里面,或者存在代理或者缓存系统里面。而且,我们必须记住,上面提到的登陆方法也有一个大前提,即你的邮箱账户一直是安全的,而这也是大多数密码重设工具假定的大前提。所以出于这方面的考虑,我并不建议那些存储敏感信息应用也通过同样的方法验证用户身份。其主要缺点是,它需要用户额外查看一次邮箱,稍显麻烦;它也不适合那种用户无法打开Email的场合,比如在朋友家中上网。因此,使用它的网站,还必须部署备用的登录方式。

总的来说,我觉得这种模式是目前比较简单易行的好方法,对于一些网站以后可以尝试一下,但对于一些个人隐私及重要信息的网站,个人还是建议做的安全性比较高点是比较更容易吸引用户的。

本文为马海祥博客原创文章,如想转载,请注明原文网址摘自于http://www.mahaixiang.cn/jrht/116.html,注明出处;否则,禁止转载;谢谢配合!

相关热词搜索: 无密码登录 网站无密码登 网站最佳登录

上一篇:新站关键词排名能否超越同行业老站排名
下一篇:百度第二搜索页上方出现‘相关搜索’利与弊的深度探讨分析

今日话题更多>

SEO研究院 更多 >>