So wissen Sie, ob Authentifizierung wirklich eine Anforderung ist

Question

Wir haben eine kleine Webapplikation, in der Benutzer Flecken auf einer Karte markieren können. Wir authentifizieren nicht Benutzer, weil wir nicht müssen. Markierte Flecken sind überhaupt nicht geheim, jeder sollte sie sehen und die Dinge sollten sehr offen und für alle transparent sein. Da es nichts zu ermächtigen gibt, müssen wir auch nicht authentifizieren. Trotzdem halten wir etwas wie ein Benutzerprofil in einem Cookie. Ein Benutzer kann Standardwerte für einige Felder in diesem "Wallet" -Keokie speichern, sodass er nur einmal eingeben muss.

Das ist unsere kleine Anarchie-App;) ... aber wie gesagt: Es ist einfach und es ist schnell und die Benutzer mögen das.

aber:

.
• Grundsätzlich ist ein gewisser Sicherheit erforderlich, nur um sicherzustellen, dass das System nicht mit Unsinn von Menschen erfüllt ist, die sich nicht an der Absicht der App interessieren. Aus meiner Sicht ist dies also eine nichtfunktionelle Anforderung (My Sicht als Systemarchitekt)
• auch die (Gruppe von) Benutzer sagen, dass sie aus irgendeinem Grund "ein Login" wollen, aber eigentlich können sie nicht sagen, warum

was ich jetzt versuche, ist es, herauszufinden, was sie wirklich wollen. Ich gehe davon aus, dass ihre Anforderung nicht "Authentifizierung" ist, sondern etwas, für das ein Login erforderlich ist. Für unsere nächsten paar Sprints versuche ich also, einige Benutzergeschichten zu formulieren, um diese Anforderungen abzudecken und die Benutzer für ihre Ziele und Vorteile zu bitten.

Meine Frage jetzt ist: Ist es sinnvoll, eine Benutzergeschichte so zu schreiben?

als Benutzer von System XY, möchten wir die Benutzerauthentifizierung per Login, so dass wir sicher sein können, dass nur eine ernsthafte Eingabe erzeugt wird.

Mit anderen Worten: Wie würden Sie auf die Notwendigkeit der Authentifizierung hinweisen und wie es getan werden sollte (um die Dinge einfach zu halten und kein Hindernis für Benutzer bereitzustellen)? Kann "Authentifizierung" ein Ziel in einer Anforderung sein?

Weitere Überlegungen zu diesem Thema:

.
• Benutzer möchten keine Passwörter eingeben. Sie wollen eine Art SSO
• Einige Benutzer erzählten, dass sie alle wollen, um Flecken zu markieren, aber sie wollen nicht, dass alle sie sehen können (so dass jeder schreiben darf, nur einige dürfen gelesen werden). Das ist ein völlig neues Ziel in unserer App, aber ich bekomme noch nicht den Nutzen.
• das impliziert auch, dass es privilegierte Benutzer gibt, und dass Benutzermanagement, Verwaltungs-UIS und -Gruppen erforderlich ist, und so auf ...

Answer 1

Ja, es ist sinnvoll.

Das Problem mit einfachen Keksen ist, dass, wenn Sie den Cookie verlieren, keinerlei Hinsicht ist wieder dieser Benutzer.

Das sagte, ich denke, diese Geschichten sind das, was Sie brauchen (Dazu gehören die zusätzlichen Punkte, die Sie erstellen):

.
1. Als angemeldeter Benutzer möchte ich anonym werden, soein anderer Benutzer desselben Browsers wird nicht als ich
identifiziert
2. Als Benutzer möchte ich als vorheriger Benutzer identifizieren, damit ich meine Arbeit wieder aufnehmen kann
3. Als Benutzer möchte ich sich als (Google) Benutzer registrieren, damit ich keine neuen Anmeldeinformationen erstellen muss
4. Als angemeldeter Benutzer möchte ich, dass einige meiner Flecken privat sind, damit ich Orte markieren kann. Ich möchte nicht, dass die breite Öffentlichkeit nicht wissen soll
5. [epic] Als angemeldeter Benutzer möchte ich meine Flecken verwalten

Wie Sie sehen, dass keiner dieser Geschichten auf die Art und Weise ist, wie Sie es lösen, oder verfolgen Sie, wer wen ist.Sie beschreiben alle echte, wertvolle Probleme, die Ihre Benutzer möglicherweise gelöst haben möchten.