Как узнать, действительно ли аутентификация необходима
-
22-12-2019 - |
Вопрос
У нас есть небольшое webapplication, где пользователи могут помечать пятна на карте. Мы не аутентифицируем пользователей, потому что нам не нужно. Маркированные пятна не секретные вообще, все должны их видеть, и вещи должны быть очень открытыми и прозрачными для всех. Потому что нет ничего для авторизации, нам также не нужно аутентифицироваться. Тем не менее, мы держим что-то вроде профиля пользователя в cookie. Пользователь может хранить значения по умолчанию для некоторых полей в этом файле cookie «Wallet», чтобы ему нужно было только вводить его один раз.
Это наше маленькое приложение Anarchy;) ... но как сказано: это просто, и это быстро, и пользователи такие.
Но:
- .
- в основном там нуждается в некоторой безопасности, просто чтобы убедиться, что система не заполнена ерундами от людей, которые не заинтересованы в намерении приложения. Итак, с моей точки зрения, это нефункциональное требование (моя точка зрения как системный архитектор)
- также (группа) пользователей говорят, что они хотят «логин» по какой-то причине, но на самом деле они не могут сказать, почему
Что я пытаюсь сделать сейчас, это выяснить, что они действительно хотят. Я предполагаю, что их требование не «аутентификация», но что-то думает, что для входа необходимо. Поэтому для нашей следующей пары Sprints я пытаюсь сформулировать некоторые пользовательские истории для покрытия этих требований и попросить пользователей их целей и преимуществ.
Мой вопрос сейчас есть: имеет смысл написать пользовательскую историю, как это?
Как пользователи системы XY, мы хотим аутентификации пользователя войти, чтобы мы могли быть уверены, что генерируется только серьезный вход.
Другими словами: как бы вы указываете на необходимость аутентификации и как это должно быть сделано (чтобы все было простым, а не предоставлять препятствие для пользователей)? Может «аутентификация» быть целью в требовании?
Некоторые другие соображения по этому вопросу:
- .
- Пользователи не хотят ввести пароли. Они хотят какой-то SSO
- Некоторые пользователи сказали, что они хотят, чтобы все помечали местами, но они не хотят всех, кто их видит (поэтому всем разрешено писать, только некоторые могут читать). Это совершенно новая цель в нашем приложении, но я еще не получаю выгоду.
- Это также подразумевает, что есть привилегированные пользователи, и что существует потребность в управлении пользователями, администрациями УИН и группы и так далее ...
Решение
Да, это имеет смысл.
Проблема с простыми файлами cookie - это то, что если вы потеряете cookie, больше нет способа снова стать этим пользователем.
, который сказал, что я думаю, что эти истории - это то, что вам нужно (это включает лишние точки, которые вы делаете):
- в качестве зарегистрированного пользователя я хочу стать анонимным, поэтому другой пользователь одного и того же браузера не будет идентифицирован как ME
- как пользователь, который я хочу определить как предыдущий пользователь, чтобы я мог возобновить свою работу
- как пользователь, который я хочу зарегистрировать как (Google) пользователя, чтобы мне не нужно создавать новые учетные данные
- как вошедший пользователь, я хочу, чтобы некоторые из моих мест были частными, чтобы я мог пометить места, которые я не хочу, чтобы широкая публика узнала
- [EPIC] как вошедший пользователь, который я хочу иметь возможность управлять своими пятнами
Как вы видите, ни одна из этих историй не является предписывающим в том, как вы ее решаете, или трек, который является кем.Все они описывают реальные, ценные проблемы, которые могут захотеть ваши пользователи.