社会化登录,是指用户使用社交平台的身份认证信息在第三方应用或网址进行认证登录的流程,比如大家经常使用个人微信、QQ、微博等社交账号登录滴滴、网易云音乐等。社会化登录不仅有助于简化用户在第三方平台的登录体验,同时也为用户在第三方平台创建新账号提供了一种更为简单便捷的方式。不论是对于普通用户来说,还是企业来说,社会化登录都有着无可比拟的优势。
尽管社会化登录有着自己独特的优势,但是也确实会给企业带来一些隐患。本文将分享我们关于社会化登录的一些思考,以帮助大家更好地考虑社会化登录的实践。
社会化登录是如何运作的?
社会化登录是一个十分简单的步骤,只需要几步就可完成:
1. 用户登录第三方应用系统,选择常用的社交平台,通过点击社交平台登录按钮或者是“使用XX社交平台进行登录”的链接跳转的方式来实现。
2. 社交平台身份服务在接收到应用发出的认证请求后,会对该用户进行身份认证。
3. 在社交平台对用户身份进行确认后,用户就可以成功登录到第三方应用或是网站。
添加描述
图:社会化登录流程
社会化登录是基于单点登录协议实现的。比如,OAuth 2.0和OpenID Connect都可以为社会化登录提供能力基础(OAuth 2.0授权第三方应用可以秘密使用社交网络数据来进行身份认证和登录;OpenID Connect是一个认证协议,支持用户使用其他网站的登录凭证在第三方应用或网址进行登录,或是账号创建操作)。
社会化登录的优势
社会化登录可以从几方面提升用户体验:
- 简化登录流程:用户使用微信等社交平台账号登录第三方应用或网站,基本只需要点击几个按钮,省去了填写复杂表单的注册流程,整个登录体验变得更加方便快捷。
- 减少密码依赖:在新注册一个网站时,用户对于设置密码和后续的记忆密码其实是有抵触心理的。使用社交平台账号进行认证登录可以使用户免于创建新账号或记忆额外的密码,进而减少用户对密码的依赖。
- 减少隐私数据分享焦虑:用户在陌生的第三方平台进行注册时,与陌生网站分享自己的隐私数据会感到不安和焦虑,使用社交平台进行认证,则有助于减少这种焦虑。
实施社会化登录对于企业来说,一般会有以下优势:
- 提升应用的用户粘度和品牌形象:社会化登录带来的无缝登录体验,可以激励用户持续使用他们的产品或服务,提升用户粘度,从而有助于提升第三方应用在用户心中的品牌形象,以及用户对公司及品牌的忠诚度。
- 免费建立连接:不同类型的应用系统之间一般是通过API的方式进行连接的。大多数第三方应用系统在免费条件下提供的资源和服务是有限的,但是社交平台的API接口都是免费开放的,因此在与其他第三方应用系统进行认证集成时,成本会大幅降低。
- 减少密码相关事宜处理成本:社会化登录意味着用户无需输入用户名和密码即可访问第三方应用系统。在这种情况下,企业就可以大幅减少处理因密码输入错误所引发的安全预警事件的时间和成本。
- 提升身份认证可信度:社会化登录提供了一个更加可信的身份认证流程,第三方应用可以从社交平台提供的认证反馈中对用户的身份进行更加准确和真实的判断,也为用户登录提供了一层安全防护。
社会化登录的潜在隐患
社会化登录虽然有助于简化用户体验,但是也存在一定的安全隐患。简单来说,主要包括以下几方面:
- 身份凭证被盗:社交平台,比如说Facebook和LinkedIn,最近几年来偶尔会被爆出数据泄露事件,甚至会造成上百万用户账号信息的泄露。
- 不好的密码使用习惯:据有关数据统计,65%的用户倾向于在多个应用系统和网站使用相同的用户名和密码。一旦社会化登录涉及数据被盗,经常使用重复密码的用户所拥有的多个平台账号,因为都使用相同的社交平台进行身份认证,被盗的风险也是很高的。
- 隐私与合规:采用社会化登录的企业有义务进行用户数据隐私合规,类似网络安全保护法等法规对不同类型的用户数据收集和数据分享实践都有针对性的规定。对于终端用户来说,企业也需要对每个平台的隐私保护政策进行研究,然后再做出最终的决定——使用哪个社交平台进行社会化登录。
Tips:现在常见的社交媒体包括微信、腾讯QQ、支付宝、新浪微博、淘宝、Google等。其中,微信作为国内最大的社交平台,是大多数企业进行认证源集成时的首要选择。 微信隐私保护政策:允许用户使用微信帐户访问其他网站。在用户授权后,可获取用户的公开个人资料(头像、昵称、性别、地区)。接入流程前要求管理员在微信开放平台注册开发者帐号(需提供更安全、更严格的真实性认证,能够更好地保护企业及用户的合法权益),并拥有一个已审核通过的网站应用(基于OAuth2.0协议标准构建)。出于安全考虑,网站应用的微信登录,需通过微信扫描二维码来实现。
社会化登录是否值得实施?
总的来说,实施社会化登录确实有助于帮助企业提升终端用户和企业的相关体验,但是我们也要在安全性保障方面采取更多措施,比如与多因素认证(MFA)相结合,或采用多重身份认证形式,降低不法分子通过盗取用户的社交账号密码等身份凭证,来侵入企业的应用系统的可能性。