在新网站上使用“使用Twitter / Facebook登录”的利弊是什么？[关闭]

我自己和一个朋友正在寻找一个小论坛站点。我正在考虑使用“使用Facebook / Twitter登录” API（可能专用（例如，Lanyrd））进行用户登录。我以前从未使用过这些工具，也没有用用户登录来运行网站。

这些API的优缺点是什么？特别：

1. 作为开发人员，使用它们有什么好处？有什么缺点？

2. 最终用户是否真的喜欢/不喜欢他们？

3. 您是否曾经历过这些API的任何技术/后勤问题？

到目前为止，这是我的优点和缺点：

优点

• 为用户带来更多便利（单击两次即可“注册”，一次即可登录）
• 可能无需维护我们自己的登录系统

 缺点

• 无法控制我们的登录过程
• 排除那些担心我们无法访问其帐户的Facebook / Twitter用户
• 如果用户的Facebook / Twitter帐户遭到破坏，则我们网站上的用户帐户也会受到破坏。
• 如果我们不维护自己的替代登录系统，请执行以下操作：
  • 我们的登录系统对Facebook / Twitter的依赖性
  • 从我们的网站中排除非Facebook /非Twitter用户

我要说的一个缺点是，用户现在可能会偏执，因为他们现在已经使用自己的Facebook / Twitter凭据登录到您的网站，他们认为您的网站可以完全访问各自帐户中所有信息。

请不要这样做。

许多人，尤其是那些不在美国的人，将不会拥有Facebook帐户，也不会创建一个人来记住有关Facebook及其对用户隐私的无知的所有言论。

与许多人的看法相反，有许多人幸福地生活在没有那些社交喧嚣和垃圾网站的情况下，并且对此一无所知。

为什么仅仅因为他们没有屈服于被称为Facebook的大众歇斯底里就把它们吐在脸上而拒绝它们？

要考虑的其他要点：

1. 您将通过使其依赖于外部系统来引入单点故障。如果他们决定关闭自己的OpenID或让您付费，那么您将大为困惑。

2. 他们将收集有关您的用户以及知道如何处理用户的数据。至少他们会将其用于营销目的，并最终从中获利，并且不会给您带来任何好处。

3. 通过将他们作为OpenID提供者，您将进一步支持他们的准垄断并帮助他们进一步发展。做社区服务，不要为那场瘟疫做贡献。

另一个弊端：排除非Facebook和非Twitter用户（或不安全分享其登录信息到其他站点的用户）。或者使他们创建外部帐户，从而给他们带来不便。我个人不喜欢单点故障的想法，即如果有人获得了我的Facebook / twitter登录信息，他们就可以进入使用相同信息的任何其他网站。但是也许我只是偏执。

我可以看到它被用作选项，但是如果您需要FB或Twitter登录，那么您将失去很多潜在的访问者。即使访客拥有FB帐户，许多人也不会出于隐私目的使用它们。我当然不想给一些随机的网站个人识别信息。

而且您仍然可能仍需要某种形式的用户跟踪系统，因为您可能希望跟踪与您的网站相关的用户信息，例如首选项。

一个我常去的网站都有自己的本地登录系统/用户帐户，但用户有，如果他们希望自己的帐户链接到Facebook帐户的选项。因此，对于那些人来说，如果他们选择，便拥有轻松登录的好处，并且如果不想这样做，没有人会被迫使用Facebook登录名。我会说，它运作良好。

我使用OpenID，Facebook和Twitter进行登录。有一次我只是在测试它，由于某种原因我无法使用Facebook登录。看完Facebook开发人员页面后，我发现他们的API服务器已关闭。因此，当用户由于Facebook宕机而无法登录时，这是一个很大的缺点。Twitter可能会遇到与OpenID相同的问题。

这实际上取决于您的目标市场。例如，在某些目标市场中，“排除非用户”的关注很小（几乎所有用户都拥有并乐于分享）。在其他情况下，这是一个巨大的问题。

您可以在答案中看到它：程序员在安全性方面往往非常谨慎，并且不想授予访问权限，因此所有“不！” 答案：-p非技术人员对此不太谨慎。

但是显而易见的答案是，如果可以的话，请同时使用fb / twitter和您自己的系统。然后每个人都高兴。

我有一个Facebook帐户，但是当遇到要我使用它登录的网站时，我没有。如果有其他方法，我将使用它。如果不是，我真的不希望看到该网站上的内容。我不喜欢去网站，也不想看到其他Facebook朋友在该网站上所做的事情，这令人毛骨悚然，侵犯了您的隐私（特别是当我没有通过Facebook登录或告诉该网站我的Facebook帐户时）。

纯粹以这种方式进行操作的一个缺点-如何在没有复杂外部依赖项的情况下进行本地测试？您如何设置随机测试帐户？模拟账户？非人类用户帐户？通常，即使希望大多数用户在外部存储凭据，也需要使用本地身份验证方案来覆盖这些排列。

最重要的是-如果您没有互联网连接，则根本无法在您的应用程序上进行黑客攻击，更不用说进行实质性工作了。而且，当您确实在身份验证或授权中存在错误时，如果无法运行简单且本地的操作来确保代码正确无误，如何确定它不是facebook / twitter /其他oauth问题？

我想说的是，使用外部登录系统可以很好地工作-看看我们在stackoverflow和stackexchange上如何使用openID。优点是很大的：您不必编写所有登录系统的代码，这是您可以忽略的初始代码库的很大一部分，而且您也没有机会出错。可以让其他人担心哪种类型的密码就足够了，以及如何重置它，等等。而且，如果他们在某个地方已经有一个openid（通过博客帐户或他们设置为访问stackoverflow的帐户），则无需记住其他用户名/密码组合。

缺点是许多用户觉得它有些混乱，如果他们尚未使用过openid，则可能不想在外部站点上创建openid。

使用Facebook登录名具有所有这些好处，并且在他们允许的情况下还可以与他们的Facebook帐户进行交互。

不利之处在于，如果您仅依赖Facebook，那么您将自己与他们联系在一起：如果Facebook曾经更改其API或禁止您的网站，或者像我这样的用户拒绝登录可能会共享数据的网站Facebook（众所周知，在不将该数据泄露给其他公司方面不是很谨慎。请注意，即使您的页面上有Facebook“喜欢”或“登录”链接，IIRC 也会让Facebook跟踪双击的登录用户查看您的网站。

所以，我会说：

• 理想情况下，您将允许使用多个外部站点登录：openID站点，facebook，google等。
• 如果你有一个Facebook的登录表单，你不把它在第一页上，只显示它在用户“与Facebook帐号登录”点击（我永远不会抱怨具有选择这样做:)） 。
• 首先，请确定最适合您设置的哪个，帐户和密码或openID或其他。
• 如果您有外部登录，请确定是否值得添加帐户和密码。（但请确保至少有两次外部登录）

我至少要警惕社交媒体的头条人物，尤其是Facebook，因为他们自由地无视选举信息共享。这种不信任感加剧了一个复杂的因素，即我遇到的绝大多数应用程序都要求提供我的所有信息，然后要求提供我所知道的每个参与其应用程序上下文的人的信息。胡扯。正如大多数人所期望的那样，政府安全检查采访要求提供许多信息，但与FB的要求甚至相去甚远。我有一个帐户，但是它的库存仅用于核心功能。

话虽这么说，但我在概念和实践上都喜欢联合身份证明（通常像openid和open auth）。我认为从用户的角度来看，使用主要Web邮件提供程序支持的提供程序很难争论，原因有两个。联合ID的一个明显好处（例如，可以记住或使用其他本地登录信息存储应用或插件管理的登录信息对更少）。其次，我相信我的电子邮件提供商可以很好地保护我的个人信息（因此保护我的收件箱），只要我尽我所能保护我的凭据（用户名/密码的强度，并明智地控制暴露程度）。

我可能会考虑其他联合身份验证提供程序，但根据联合身份验证的目的，它们必须具有吸引力。

最后，集成多个提供商不一定很容易。stackexchange团队在不久前已经对挑战发表了评论。如果我不在移动设备上，我会为您搜索。

嗯，我显然在另一个营地。对我而言，Facebook的概念将经受住时间的考验。知道，也许将来不会是Facebook。但是，除了隐私阴谋理论家关注的问题（您可以控制自己的隐私）之外，我认为这种服务将成为“实用程序”。当您拿起电话给某人打电话时，就会用尽邮箱来抓邮件...您将用“ Facebook”的恶魔与他人取得联系。

既然人们彼此“脸谱网”，我们已经经历了电子邮件流量的显着减少。这只是时间问题，但是电子邮件的使用将继续减少。

另外，请记住，您想要登录到系统的人员类型很可能是拥有Facebook帐户的类型。那些通常（根据我的经验）通常不会（或实际上是任何站点）都不会“参与”您的站点。

事实是，无论是不是Facebook，每个人都可以立即与他们认可的人进行通信的系统将是Internet“单点登录”系统的最佳人选。您不能简单地将“ 2-click注册和no-click / 1-click登录”视为小型专家，它们实在是太庞大了！

对于担心隐私的人来说，您在Facebook个人资料中放的哪些内容如果被窃取可能会造成损害？你为什么把它放在那里？

我的投票（对于它的价值）是赞成的！疯狂，用纯Facebook系统完全取代您的会员系统。到目前为止，我已经和我的用户喜欢它了。