Cómo saber si la autenticación es realmente un requisito

StackOverflow https://stackoverflow.com//questions/23052528

Pregunta

Tenemos una pequeña aplicación web donde los usuarios pueden marcar puntos en un mapa. No autenticamos a los usuarios, porque no necesitamos. Los puntos marcados no son secretos en absoluto, todos deben verlos y las cosas deben ser muy abiertas y transparentes para todos. Porque no hay nada que autorizar, tampoco necesitamos autenticarnos. Sin embargo, mantenemos algo así como un perfil de usuario en una cookie. Un usuario puede almacenar valores predeterminados para algunos campos en esta cookie "billetera" para que solo necesite escribirla una vez.

Es nuestra pequeña aplicación de anarquía;) ... pero como se dice: es simple y es rápido y los usuarios así.

pero:

  • Básicamente, es una necesidad de alguna seguridad, solo para asegurarse de que el sistema no esté lleno de tonterías de las personas que no están interesadas en la intención de la aplicación. Así que desde mi punto de vista, ese es un requisito no funcional (mi punto de vista como arquitecto de sistema)
  • también los usuarios (grupo de) dicen que quieren "un inicio de sesión" por alguna razón, pero en realidad no pueden decir por qué

Lo que estoy tratando de hacer ahora es averiguar qué realmente quieren. Supongo que su requisito no es "autenticación", sino algo que piensan para que se necesita un inicio de sesión. Entonces, para nuestra próxima pareja de Sprints, estoy tratando de formular algunas historias de usuarios para cubrir estos requisitos y para solicitar a los usuarios sus metas y beneficios.

Mi pregunta ahora es: ¿Tiene sentido escribir una historia de usuario como esta?

Como usuarios del sistema XY, queremos la autenticación del usuario por inicio de sesión, para que podamos estar seguros de que solo se genere una entrada grave.

En otras palabras: ¿Cómo señalaría la necesidad de autenticación y cómo se debe hacer (para mantener las cosas simples y no proporcionar un obstáculo para los usuarios)? ¿Puede la "autenticación" ser un objetivo en un requisito?

Algunas más consideraciones sobre este tema:

  • Los usuarios no quieren escribir contraseñas. Quieren algún tipo de SSO
  • Algunos usuarios le dijeron que quieren que todos quieran marcar los lugares, pero no quieren que todos los vean (para que todos puedan escribir, solo a algunos se les permite leer). Ese es un objetivo totalmente nuevo en nuestra aplicación, pero todavía no entiendo el beneficio.
  • que también implica, que hay usuarios privilegiados, y que hay una necesidad de administración de usuarios, administración de UIS y grupos, etc.
¿Fue útil?

Solución

Sí, tiene sentido.

El problema con las cookies simples es que si pierde la galleta, no se convierte en ese usuario nuevamente.

Dicho esto, creo que estas historias son lo que necesita (esto incluye los puntos adicionales que usted hace):

  1. Como usuario registrado, quiero volverse anónimo para que otro usuario del mismo navegador no sea identificado como yo
  2. como usuario que quiero identificar como un usuario anterior para que pueda reanudar mi trabajo
  3. Como usuario, quiero registrarme como usuario (Google) para que no tenga que crear nuevas credenciales
  4. Como usuario registrado, quiero que algunos de mis lugares estén privados para que pueda marcar lugares, no quiero que el público en general sepa
  5. [Epic] Como usuario de inicio de sesión, quiero poder administrar mis puntos

    6. Como puede ver que ninguna de estas historias es prescriptiva en la forma en que lo resuelve, o rastrea quién es quién.Todos describen problemas reales y valiosos que sus usuarios pueden querer resolver.

Licenciado bajo: CC-BY-SA con atribución
No afiliado a StackOverflow
scroll top