Задать вопрос
@kimfrost
идентификация-пользователей

Авторизация пользователя по устройству(смартфону)?

Как можно организовать авторизацию пользователя на сайте по устройству? Необходим упрощенный вход на сайт для отдельно выбранных пользователей со смартфона без ввода пары логин/пароль. Реализация на php.
  • Вопрос задан
  • 110 просмотров
Комментировать
Подписаться 2 Простой Комментировать
Пригласить эксперта
Ответы на вопрос 3
vabka
@vabka
Токсичный шарпист
Это крайне не секурно, тк без аутентификации невозможно убедиться, что это именно тот девайс, который заявлен.
Посмотри в сторону SSO и доменной аутентификации (через Active Directory)
Ответ написан
Комментировать
Комментировать
AgentSmith
@AgentSmith
Это мой правильный ответ на твой вопрос
Так делать ни в коем случае нельзя.
Забудь про это
Ответ написан
Комментировать
Комментировать
@rPman
Храни токен сессии авторизации в куках браузера, тогда авторизация понадобится однократная.

Какую именно авторизацию выбрать правильно?

Гугл предлагает авторизацию через свой аккаунт, т.е. если в браузере есть авторизация (а в дефолтном она будет, если в смартфоне добавлен аккаунт гугла, а он добавлен более чем в подавляющем количестве случаев, так как по дефолту многие смартфоны даже не дадут собой пользоваться без этого), в этом случае для получения доступа пользователю будет дан соответствующий запрос в браузере

https://developers.google.com/identity/protocols/o...

Для пользователя в этом случае, обычно этот процесс это пару тапов по экрану, без ввода логина и пароля

p.s. поддержку авторизации через другие аккаунты (например фейсбук или яндекс) смотреть у них соответственно

p.p.s. более универсально, но дороже и потребует от клиента его номер телефона - это двухфакторная авторизация по sms (потребует договор с провайдером на доставку sms и какая либо библиотека для двухфакторки)

p.p.p.s. самое красивое (ничьи персональные данные никуда не уйдут) предложить пользователю использовать Time based One Time Password, один из популярных стандартов (от google authenticator rfc6238), гугл к примеру показывает эту реализацию. Пользователю потребуется на смартфон поставить соответствующее приложение (их тьма помимо самого гугла, есть встроенные в парольные менеджеры, например keepass2droid) но нигде регистрироваться и давать свой номер не придется, и владельцу сервера ни за что платить так же не понадобится.

Вопреки всеобщему мнению, эта авторизация вполне более чем достаточна (при наличии защит от брутфорса на сервере само собой), пользователю достаточно сказать свой логин и текущее значение TOTP, никаких паролей или email больше не нужно (чаще email нужен для других задач, когда сервису нужно как то связаться с клиентом)

p......s. еще есть авторизация через GPG (плохо с мобильными да и для десктопных браузеров расширения не сильно популярны), еще менее редкое - авторизация через приватные ключи криптовалютных кошельков... но такую экзотику вам глупо предлагать
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Специалист технической поддержки (работа из офиса г.Казань)
Данафлекс Казань
от 60 000 ₽
Senior ML Engineer (Computer Vision)
Gradient
от 450 000 ₽
Оператор 1-я, 2-я линия техподдержки(поддержка клиентов)
MYRTEX
от 40 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Разработать HLTV HUD для стрима CS 1.6
25 апр. 2024, в 08:02
2500 руб./за проект
Вычислить размер объекта по карте глубин
25 апр. 2024, в 07:37
5000 руб./за проект
Спарсить TON PLACE: скрейпинг фото и текста с анкет по списку URL
25 апр. 2024, в 05:57
3000 руб./за проект
Ещё заказы