Рассказываем, что значит авторизоваться в сервисе, зачем нужны логины на сайтах и как сделать процедуру авторизации проще для клиентов.
При первом входе на сайт или в приложение, где используются личные данные, нужно зарегистрироваться в системе — создать учётную запись. Далее при каждом повторном входе нужно авторизоваться с помощью данных, указанных при регистрации. При этом система сравнивает вводимые данные с регистрационными и определяет, можно ли открыть доступ к учётной записи.
Авторизация — это предоставление доступа к данным, закрытым от публичного просмотра.
Пример: посетитель интернет-магазина хочет посмотреть историю своих заказов, которая хранится в личном кабинете. Для этого он должен указать свои идентификационные данные, по которым система опознает клиента и разрешит войти в аккаунт.
В качестве идентификатора можно использовать разные виды данных, например:
Далее пользователь должен подтвердить, что указанный логин или другой идентификатор принадлежит именно ему. Для этого нужно ввести секретную информацию, которая доступна только ему: например, пароль, код из СМС или push. Система проверяет соответствие идентификационных данных тем, что хранятся в базе. Если параметры совпадают, то клиент попадает в свой личный кабинет, если нет — система выдаёт ошибку и доступ невозможен.
Авторизация используется не только в интернет-магазинах. Проверка проводится везде, где нужно ограничить доступ к контенту, функциям, совершению операций. Примеры:
Один из распространённых сервисов, в котором необходима авторизация, — электронная почта. Когда вы авторизуетесь в приложении или на сайте почтового сервиса, открывается ваш ящик с письмами, папками, контактами, заметками. Ваши данные хранятся на почтовом сервере вместе с данными тысяч других пользователей. Разграничение доступа происходит в процессе идентификации. По email, который вы вводите в окне входа, система понимает, к какому ящику нужно открыть доступ. А по паролю определяет, что вам разрешён доступ к этому ящику.
В некоторых системах создаётся многоуровневая система доступа. Например, на одном компьютере можно сделать несколько учётных записей с разными правами. Тогда обычные пользователи смогут только работать в установленных программах, а администраторы — удалять ПО, менять настройки, добавлять и удалять учётные записи.
Уровень доступа определяется на этапе проверки параметров входа. По логину или другому идентификатору система определяет набор разрешений и предоставляет доступ с соответствующими правами.
На более глобальном уровне разделять роли можно по наличию или отсутствию учётной записи. Пример — сайт интернет-магазина, на котором часть действий можно совершать без регистрации:
Но для оформления заказа, оплаты, комментирования статей, оценки товаров нужно зарегистрироваться или авторизоваться.
Технически вход в систему или личный кабинет проводится в несколько этапов:
Иногда добавляются дополнительные этапы подтверждения личности. Например, при двухфакторной аутентификации система может запрашивать:
Таким образом, понятие авторизации включает в себя процессы идентификации и аутентификации. При ошибках на одном из этих этапов авторизоваться на сайте или в приложении невозможно.
Чем проще авторизоваться в сервисе, тем выше лояльность и вовлечённость аудитории. От удобства входа в личный кабинет зависят многие бизнес-показатели, например:
Долгая или слишком сложная процедура регистрации, ошибки при попытке авторизоваться, сбои при отправке СМС-кодов ведут к росту отказов и, как следствие, ухудшению KPI. Разберём один из примеров неудачной реализации модуля входа в аккаунт.
Часто запрос логина и пароля осуществляется в одном окне, и для пользователя переход от этапа идентификации к аутентификации незаметен.
Это ускоряет процедуру и требует от пользователя меньше действий: чтобы авторизоваться, нужно заполнить два поля и один раз нажать кнопку входа. Проблемы возникают в случае ошибки, когда система выдаёт сообщение вида «Неверный логин или пароль». Клиенту неясно, что именно он вводит неправильно и как исправить ошибку — попробовать другой email или вспомнить пароль.
С точки зрения защиты информации такой подход оправдан. Специалисты по кибербезопасности считают, что так злоумышленникам в два раза сложнее подобрать параметры и взломать аккаунт. Но с позиции юзабилити и логики бизнес-процессов проблемы при входе в личный кабинет могут привести к оттоку аудитории. Если клиент не может попасть в учётную запись, он, возможно, покинет сайт или удалит приложение вместо того, чтобы заниматься восстановлением доступа.
Значит, важно предложить своей аудитории такой способ входа, который будет отвечать двум требованиям:
Это универсальный способ входа, доступный для сайтов и приложений Сбера и партнёров. С помощью Сбер ID можно авторизоваться в любом партнёрском сервисе по единому идентификатору через номер телефона или QR-код. Это значит, что пользователям не нужно:
Все данные хранятся на серверах Сбера и передаются в партнёрский сервис по шифрованному каналу. Возможности Сбер ID:
Чтобы подключить сервис авторизации Сбера на своём ресурсе, нужно зарегистрироваться как партнёр, настроить обмен данными и добавить в интерфейс форму входа по Сбер ID.