CityHost.UA
  • Русский
  • Українська
  • English
  • Deutsch

  • Kijów

    (044)3-777-4-88

  • Kyivstar

    (096) 365-38-58

  • Lifecell

    (093) 170-17-68

  • Vodafone

    (066) 922-59-58
Pomoc i wsparcie

Jak zweryfikować użytkownika na stronie: połączenia, SMS, e-mail

 17304
11.08.2023
article

 

 

Płacimy w internecie, kupujemy i sprzedajemy, zostawiamy wrażliwe dane, zakładamy wiele kont. Tak samo postępują użytkownicy, gdy odwiedzają strony naszych projektów. W związku z tym musimy potwierdzić, że użytkownik jest tym, kto ma prawo do określonych działań. Zatem przyjrzyjmy się narzędziom, które pozwalają na autoryzację użytkownika na stronie.

Co to jest autoryzacja, czym różni się od uwierzytelniania lub identyfikacji

Na początek określmy terminy. Identyfikacja – to określenie, kto stoi przed nami. Jak rozpoznanie osoby na ulicy. Uwierzytelnienie (weryfikacja) — potwierdzenie, że ta osoba jest tym, za kogo się podaje lub kim ją uważamy. W codziennym życiu do tego pokazuje się dokumenty. A autoryzacja — to potwierdzenie prawa do określonych działań, dostępu do informacji i tym podobne. Na stronach internetowych zazwyczaj odbywają się jednocześnie wszystkie trzy procesy, nie są one rozdzielane w czasie.

Zazwyczaj mówi się właśnie o autoryzacji, ponieważ podczas interakcji w sieci ciągle chodzi o przyznawanie określonych praw — przeglądanie treści, edytowanie jej, dokonywanie płatności itp.

Co to jest autoryzacja na stronie

Przeczytaj także: Jak poznać CMS strony: przegląd metod analizy

Co to jest autoryzacja i jak działa

Autoryzacja — to sposób ochrony. Określa prawa użytkowników w taki sposób, że będą one różne: ktoś może zalogować się do konta/wysłać wiadomość/korzystać z urządzenia, ktoś może edytować treść, a ktoś nie. Aby określić, kto ma daną przywilej, przeprowadza się uwierzytelnienie — użytkownik jest określany jako mający prawo do określonych działań.

W szerokim sensie autoryzacja — to na przykład klucz do pokoju, który daje się po zameldowaniu w hotelu. W internecie to proces weryfikacji użytkownika i przyznawania mu określonych praw. Jeśli rozważyć, co to jest autoryzacja z punktu widzenia procesu, to:

  • system otrzymuje żądanie wykonania określonych działań;

  • uwierzytelnia użytkownika jako mającego lub nie mającego na nie prawo;

  • zaspokaja lub odrzuca żądanie (wpuszcza do skrzynki pocztowej, konta roboczego, aplikacji bankowej itp.).

Jakie rodzaje autoryzacji są obecnie używane

Niektóre usługi pozwalają na autoryzację za pomocą zewnętrznego zweryfikowanego konta — na przykład Google, Facebook, Twitter itp. Uważa się, że te systemy są wystarczająco zabezpieczone, ale konta w nich są regularnie łamane.

Najprostszy rodzaj autoryzacji użytkownika, z którym wszyscy są zaznajomieni, kto kiedykolwiek miał przynajmniej e-mail — to login i hasło. To jest powszechne, ale na tym zalety takiej autoryzacji się kończą. Ponieważ:

  • hasła często się gubią;

  • hasło łatwo złamać lub ukraść za pomocą phishingu i innymi sposobami.

Dlatego zazwyczaj dodaje się uwierzytelnienie dwuetapowe — na przykład po wprowadzeniu poprawnego hasła na telefon przychodzi SMS lub telefon, lub trzeba odpowiedzieć na pytanie kontrolne.

Przy okazji, dwuetapowa autoryzacja do logowania się na swoje konto jest również dostępna na stronie Cityhost.ua. Pomoże to chronić Twój hosting, domeny, wynajmowane VPS i serwery dedykowane przed włamaniami hakerów. Zapoznaj się z instrukcją włączenia dwuetapowej autoryzacji.

 Dwuetapowa autoryzacja w Cityhost.ua

Rodzaje autoryzacji, które są najczęściej używane:

  1. Autoryzacja klienta przez zewnętrzną usługę (konto Google, konto w mediach społecznościowych, telefon);

  2. Autoryzacja przez e-mail (na adres e-mail przychodzi wiadomość z jednorazowym hasłem;

  3. Autoryzacja przez SMS;

  4. Autoryzacja przez telefon;

  5. Tworzenie tokena logowania (wymiana zaszyfrowany wiadomości).

Taka autoryzacja wymaga od użytkownika wykonania dodatkowego działania, aby zalogować się do swojego konta.

Usługi i narzędzia do autoryzacji

Najprostsze usługi pozwalają zidentyfikować i dopuścić użytkownika do systemu za pomocą wiadomości na e-mail. Ale to zdecydowanie nie jest odpowiednie, jeśli planujesz otrzymywać płatności przez stronę — na przykład, jeśli mowa o sklepie internetowym. Platformy, dla których ważne jest bezpieczeństwo danych swoich użytkowników, przeprowadzają bardziej skomplikowaną weryfikację za pomocą jednorazowego kodu na e-mail, SMS lub telefon, do czego używają specjalistycznych usług lub narzędzi. Przyjrzyjmy się, jakie one są.

Rozwiązania "z pudełka" na popularnych CMS WordPress i PrestaShop

Silnik WordPress oferuje kilka wtyczek, które pozwalają włączyć dwuetapową autoryzację i autoryzację użytkownika:

  • Two-Factor WordPress — darmowa wtyczka, która wysyła jednorazowe kody na e-mail;

  • Gateway API pozwala na wysyłanie SMS-ów bezpośrednio z panelu administracyjnego strony, a także dowolnie formatować te wiadomości, w szczególności dodawać imię użytkownika itp.;

  • Rublon pozwala korzystać zarówno z SMS-ów, jak i kodów na e-mail oraz innych metod.

Pisaliśmy o ochronie stron na WordPressie, w szczególności o wtyczkach zabezpieczających. Niektóre z nich również pozwalają na dwuetapową autoryzację.

 Autoryzacja użytkownika na WordPress

Moduł Security Pro dla silnika Prestashop, na którym tworzy się sklepy internetowe, również pozwala na włączenie dwuetapowej autoryzacji.

Przeczytaj także: CRM-systemy — co to jest, po co są potrzebne i który wybrać

Usługi do autoryzacji za pomocą SMS — Kyivstar, Messedo, Decision

Autoryzacja przez wiadomość zakłada, że użytkownik wprowadza hasło lub loguje się na stronie w inny sposób, a następnie system wysyła mu kod za pomocą SMS. Kod wprowadza się w specjalne pole na stronie lub jest automatycznie podstawiany.

Jednym z największych operatorów, który oferuje takie usługi — jest Kyivstar. Operator komórkowy oferuje możliwość wysyłania różnorodnych wiadomości dla biznesu, w tym także do weryfikacji.

 Weryfikacja użytkownika za pomocą SMS od Kyivstar

Specjalistyczne usługi zajmujące się tylko wysyłką SMS-ów oferują dwuetapową autoryzację przez wiadomości na telefon, klasyczne SMS lub Viber. Na przykład, Messedo oferuje płacić mniej za wiadomość w komunikatorze, podczas gdy klasyczna wiadomość będzie kosztować 58 groszy. Kod przychodzi w wiadomości, klient wprowadza go na stronie i trafia do swojego konta.

Autoryzacja klienta za pomocą usługi Messedo

A oto inna podobna usługa, bardziej stonowana — Decision. Tutaj również mowa o masowych wysyłkach SMS, na przykład do reklamy, do potwierdzania zamówień itp. A SMS do dwuetapowej identyfikacji — to jedna z usług. Integrując ten protokół na stronie, można również wysyłać SMS-y do potwierdzenia transakcji.

Autoryzacja przez SMS na serwisie Decision

Usługi łączą się z witryną za pomocą SMS API, protokołów, które pozwalają zintegrować wysyłkę SMS-ów w istniejącym oprogramowaniu i robić to szybko.

Zaletą takich usług w porównaniu do wtyczek i modułów CMS, które pozwalają na wysyłanie SMS-ów bezpośrednio z panelu administracyjnego strony, jest to, że na łączności z Tobą może być specjalista, który szybko wszystko załatwi, jeśli coś pójdzie nie tak.

Usługi do autoryzacji przez telefon — Zadarma, ITTel, AlphaSMS

Ten sposób weryfikacji szeroko wykorzystuje na przykład PrivatBank. Sposoby uwierzytelnienia mogą być różne. Gdzieś trzeba odpowiedzieć na telefon i nacisnąć określone cyfry, gdzie po prostu go odebrać, gdzieś wprowadzić na stronie ostatnie cyfry numeru, z którego właśnie wykonano telefon.

Autoryzacja przez numer telefonu przez telefon ma dwie zalety:

  • telefon przychodzi szybciej i praktycznie się nie gubi, w przeciwieństwie do SMS;

  • telefon jest tańszy;

  • uważa się, że telefon jest trudniejszy do przechwycenia.

Dla takiej autoryzacji istnieje otwarte API na znanym serwisie Zadarma. To usługa telefonii w chmurze. Tworząc wirtualny numer i integrując protokół na swojej stronie, można wykonywać weryfikacyjne telefony z kodem. Tylko potrzebny jest pracownik, który potrafi poprawnie zintegrować kod, lub określony czas, aby się z tym zapoznać.

 Otwarte API do autoryzacji na serwisie Zadarma

Są usługi, które oferują zrobienie wszystkiego za pieniądze klienta.

Autoryzacja przez telefon w ITTel, na przykład, możliwa jest zarówno z strony, jak i z aplikacji mobilnej, może integrować się z CRM i systemem lojalnościowym.

Autoryzacja telefonem w ITTel

A AlphaSMS od razu dają darmowy widget, aby nie angażować programistów.

 Weryfikacja użytkownika AlphaSMS

Większość usług oferuje darmowe testowanie.

Przeczytaj także: Jak stworzyć swoją stronę dla biznesu: samodzielnie, łatwo i stosunkowo tanio

Jak zaprojektować blok autoryzacji, aby użytkownicy czuli się komfortowo

Główną zasadą jest, aby być zrozumiałym i nie odciągać użytkownika od głównego celu. Jeśli już autoryzujesz klienta, nie warto proponować mu jeszcze captcha, zgadywania obrazków czy jakichkolwiek innych zadań. Jeśli to możliwe, można nawet unikać jednoczesnego wprowadzania hasła i kodu z SMS. Autoryzacja — to dodatkowe działanie w procesie, a nowocześni ludzie zawsze się spieszą i nie lubią się zatrzymywać.

Im bardziej zrozumiałe pole autoryzacji, bardziej zwięzłe i jednoznaczne, tym lepiej na nie reagują.

W szczególności powinno być:

  • wystarczająco duże dla informacji, które się tam wprowadza;

  • zawierać tylko jeden zrozumiały przycisk, zrozumiały apel do działania, minimum innych szczegółów;

  • preferowane umiejscowione w taki sposób, aby przyciągać uwagę. Nic tak nie myli na stronie Charkowskich sieci ciepłowniczych, jak szukanie, gdzie się zalogować, aby przekazać wskaźniki.

Istnieje również wiele sposobów, aby uczynić wprowadzenie bardziej przyjemnym i atrakcyjnym:

  • pole, które reaguje na wprowadzenie;

  • kontrastowy przycisk, który reaguje na naciśnięcie;

  • zwięzła i zrozumiała wiadomość o tym, czego oczekiwać po wprowadzeniu danych (zostaniesz przekierowany na stronę, na telefon przyjdzie SMS, wiadomość na e-mail itp.);

  • wygodna wiadomość o błędzie, jeśli klient popełnił błąd;

  • autopodstawienie kodu, jeśli przychodzi SMS.

W ogóle, cały proces autoryzacji warto przejść myślą kilka razy z punktu widzenia klienta i zwrócić uwagę, na jakich etapach staje się już trochę nudno lub trudno, czy można z czegoś zrezygnować. Wtedy równowaga między bezpieczeństwem a wygodą będzie taka, jak należy — być może nie idealna, ale idealnych rzeczy w ogóle jest niewiele.

Usługi omówione w tym artykule stanowią daleko nie wyczerpujący wykaz. Jednak wtyczki, płatne usługi i otwarte API działają na podobnych zasadach. W związku z tym należy wybierać z punktu widzenia akceptowalnej dla budżetu ceny i, być może, dodatkowych opcji, które są wymagane w konkretnej sytuacji. Zorganizowanie dwuetapowej autoryzacji z ich pomocą nie jest trudne, ale chroni zarówno projekt, jak i jego klientów.


Podobał Ci się artykuł? Powiedz o nim znajomym:

Author: Bohdana Haivoronska

Journalist (since 2003), IT copywriter (since 2013), content marketer at Cityhost.ua. Specializes in articles about technology, creation and promotion of sites.

Poprzedni artykuł

Jak ukryć stronę podczas tworzenia przed indeksowaniem przez wyszukiwarki i przed użytkownikami

Następny artykuł

Co to są linki nofollow i dofollow, i dlaczego oba rodzaje są potrzebne do SEO-promocji strony?
Podobne artykuły
Nasze usługi

Hosting wirtualny

Rejestracja domen

Serwery wirtualne

Serwery

Certyfikaty SSL

Rejestracja znaku towarowego

Usługa SMS

Darmowa usługa Call Back

CityHost

Usługi

2004 - 2025 „CityHost” — profesjonalny
płatny hosting w Ukrainie.