Como saber se a autenticação é realmente um requisito
https://stackoverflow.com//questions/23052528
-
22-12-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Temos uma pequena aplicação web onde os usuários podem marcar pontos em um mapa. Nós não autenticamos usuários, porque não precisamos. Spots marcados não são secretos, todos os deveriam vê-los e as coisas devem ser muito abertas e transparentes para todos. Porque não há nada para autorizar, também não precisamos autenticar. No entanto, mantemos algo como um perfil de usuário em um cookie. Um usuário pode armazenar valores padrão para alguns campos neste cookie "wallet" para que ele só precise digitá-lo uma vez.
Esse é o nosso pequeno app anarquia;) ... mas como disse: é simples e é rápido e os usuários desse tipo.
mas:
- Basicamente, é uma necessidade de alguma segurança, só para garantir que o sistema não esteja cheio de absurdo de pessoas que não estão interessadas na intenção do aplicativo. Então, do meu ponto de vista, que é um requisito não-funcionário (meu ponto de vista como arquiteto do sistema)
- também os usuários (grupo de) dizem que querem "um login" por algum motivo, mas na verdade eles não podem dizer por que
O que estou tentando fazer agora é descobrir o que eles realmente querem. Eu suponho que sua exigência não seja "autenticação", mas algo que eles acham que um login é necessário para. Então, para nossos próximos sprints, estou tentando formular algumas histórias de usuários para cobrir esses requisitos e pedir aos usuários seus objetivos e benefícios.
minha pergunta agora é: faz sentido escrever uma história de usuário assim?
.como usuários do sistema xy, queremos autenticação do usuário por login, para que possamos ter certeza de que apenas a entrada séria é gerada.
Em outras palavras: Como você apontaria a necessidade de autenticação e como deveria ser feito (para manter as coisas simples e não fornecer um obstáculo para os usuários)? Pode "autenticação" ser uma meta em um requisito?
Algumas mais considerações sobre esta questão:
- os usuários não querem digitar senhas. Eles querem algum tipo de sso
- Alguns usuários disseram, que querem que todos marcam pontos, mas eles não querem que todos os vêem (para que todos possam escrever, apenas alguns podem ler). Esse é um objetivo totalmente novo em nosso aplicativo, mas ainda não recebo o benefício ainda.
- Isso também implica que existem usuários privilegiados e que há uma necessidade de gerenciamento de usuários, administração e grupos e assim por diante ...
Solução
Sim, faz sentido.
O problema com cookies simples é que, se você perder o cookie, não há como se tornar esse usuário novamente.
Isso disse que acho que essas histórias são o que você precisa (isso inclui os pontos extras que você faz):
- .
- como usuário logado eu quero me tornar anônimo para que outro usuário do mesmo navegador não seja identificado como eu
- como usuário eu quero identificar como usuário anterior para que eu possa retomar meu trabalho
- como usuário que eu quero registrar como um usuário (google) para que eu não precise criar novas credenciais
- como um usuário logado eu quero que alguns dos meus lugares sejam privados para que eu possa marcar lugares que eu não quero que o público em geral saiba
- [Epic] como um usuário logado eu quero ser capaz de gerenciar meus pontos
Como você pode ver Nenhuma dessas histórias é prescritiva da maneira que você resolve, ou rastrear quem é quem.Todos eles descrevem problemas reais e valiosos que seus usuários podem querer resolvidos.
