Ці технології відкривають нову еру в сфері безпарольної ідентифікації користувачів.
Процес підтвердження особистості користувача є критично важливим для будь-якого бізнес-застосунку. Він має бути не тільки надзвичайно захищеним, а й зручним, забезпечуючи ідеальний баланс між безпекою та позитивним досвідом користувача.
З самого початку ери інтернету паролі були основним методом аутентифікації. Спочатку використовувалися прості комбінації, такі як “1234” або “qwerty”, яких було достатньо, поки кіберзлочинці не почали використовувати їх в своїх цілях.
Згодом з’явилися менеджери паролів, які генерують і зберігають надійні паролі для більш безпечного входу. Однак, їх використання викликає певні суперечки, і багато людей досі не бажають ними користуватися з різних причин.
Джерело: statista.com
Отже, виникла необхідність у більш простому і водночас безпечнішому рішенні.
Раді вітати вас у світі безпарольної аутентифікації!
Це сучасна та відносно безпечніша альтернатива традиційним паролям. Вона є більш зручною для користувача та забезпечує безперебійний досвід.
Наприклад, Apple Face ID є формою безпарольної ідентифікації, яка мені особисто подобається. Так само біометрична автентифікація та одноразові паролі також належать до цього типу.
І існує ще багато інших методів, включаючи магічні посилання.
Що таке магічні посилання?
Магічні посилання – це метод, де користувач вводить своє ім’я і отримує посилання на свою електронну пошту. Після переходу за цим посиланням, він автоматично входить до системи.
В ідеальному світі, де електронні листи працюють бездоганно, а всі платформи використовують аутентифікацію через магічні посилання, користувачам потрібно було б пам’ятати лише один пароль – від своєї поштової скриньки.
Про все інше подбають магічні посилання. Це значно зручніше для користувача. Крім того, спроби зламати пароль стають неактуальними та безглуздими.
Отже, ми пропонуємо кілька інструментів, які допоможуть вам інтегрувати цю технологію у ваш застосунок.
Stytch
Перевагою Stytch є простота впровадження та наявність безкоштовного плану для початку.
Існує два способи інтеграції магічних посилань за допомогою Stytch: через API та SDK.
Наразі SDK Stytch доступні для JavaScript, React і Next.js. Це найшвидший спосіб почати роботу з мінімальними зусиллями. Ви отримуєте готовий інтерфейс користувача, який можна налаштувати під свій бренд.
З іншого боку, API Stytch надає вам повний контроль над дизайном.
Безкоштовний план розрахований на 5000 активних користувачів на місяць (MAU); після цього діє принцип оплати за використання.
Платні підписки пропонують більше можливостей налаштування дизайну та відсутність брендування Stytch.
FusionAuth
FusionAuth також має власний інтерфейс, який вимагає мінімального втручання, і безпарольний API для забезпечення повної гнучкості.
Магічні посилання надсилають обмежений у часі код, який користувач повинен ввести у форму входу, щоб продовжити. Однак API дозволяє надсилати цей код через SMS або push-повідомлення для більшої зручності.
Крім того, FusionAuth підтримує автентифікацію Google One Tap, яка автоматично розпізнає активні облікові записи Google у браузері та відображає їх у спливаючому вікні, дозволяючи користувачу увійти в систему одним кліком.
FusionAuth пропонує два варіанти підписки на основі хостингу.
Ви можете використовувати самостійне розміщення, яке також має безкоштовний план, що підтримується спільнотою, без обмежень на кількість активних користувачів на місяць. На жаль, у хмарного хостингу немає безкоштовних планів. Проте ви можете скористатися 14-денною безкоштовною пробною версією базового плану.
WorkOS
WorkOS має SDK для багатьох мов програмування, зокрема Node.js, Ruby, Python, Java, .Net та інші, щоб ви могли легко розпочати.
Для надсилання електронних листів для аутентифікації за магічним посиланням ви можете використовувати WorkOS API або власного постачальника електронної пошти. Такі одноразові посилання дійсні протягом 15 хвилин.
WorkOS пропонує безліч шаблонів електронних листів, які ви також можете налаштувати відповідно до свого бренду.
Нарешті, ви можете почати роботу безкоштовно, без попередньої оплати.
MojoAuth
MojoAuth забезпечує швидке впровадження магічних посилань завдяки готовим інтеграціям для таких платформ, як WordPress, Webflow, Bubble тощо.
Його SDK доступні для різних мов і платформ, таких як Node.js, Java, Android, Golang, iOS, PHP, Asp.net та інші.
Крім того, його API призначений для розробки кастомних програм відповідно до конкретних потреб. MojoAuth також дозволяє використовувати магічні посилання в стандартних налаштуваннях багатофакторної автентифікації (MFA) з незалежними API.
Перевагою MojoAuth є відсутність брендування в інтерфейсі користувача та гарантія безвідмовної роботи на 99,9%.
Базовий план починається з 1000 MAU, і всі плани пропонують такі функції, як необмежена кількість користувачів, необмежена кількість входів, OTP електронною поштою, управління командою тощо. Хоча безкоштовного плану немає, ви можете скористатися 30-денною безкоштовною пробною версією.
Supabase
Supabase – це інструмент з відкритим вихідним кодом для управління аутентифікацією за магічним посиланням.
Існує два способи використання Supabase. Перший – це безпосереднє додавання безпарольної аутентифікації в проекти Supabase як базу даних Postgres. Другий – це вбудовування коду входу в ваші програми на JavaScript або Flutter.
Що стосується ціни, то можна почати безкоштовно з до 50 000 MAU і 200 одночасних підключень. Платні плани додають такі функції, як підтримка електронною поштою, щоденне резервне копіювання, 7-денне зберігання журналів, збільшена пропускна здатність тощо.
Clerk
Clerk гарантує просту інтеграцію та швидкий запуск функціоналу магічних посилань за лічені хвилини.
Аутентифікація за магічним посиланням включає перенаправлення за посиланням без використання одноразового пароля (OTP). Крім того, магічні посилання можна використовувати в процесі MFA.
API Clerk доступний для Next.js, React і JavaScript. Ви можете використовувати аутентифікацію за магічним посиланням для реєстрації, входу та підтвердження електронної пошти.
Безкоштовний план пропонує 5000 MAU, необмежену кількість облікових записів, власні домени та підтримку спільноти з власним брендингом. Платні плани додають необмежену кількість MAU і користувацькі домени, дозволяють створювати списки/чорні списки, MFA, налаштовувати тривалість сеансу тощо.
Descope
Магічні посилання Descope дозволяють використовувати URL-адреси для входу та одноразові паролі, а також пропонують безкоштовний рівень для стартапів з лімітом до 7500 MAU.
Реалізація є простою завдяки гнучким параметрам, таким як SDK, API та Flows.
Descope Flows – це інтерфейс без коду, який можна використовувати для створення відповідей на взаємодію користувача. Він включає конструктор потоків, конструктор екранів та інструмент налаштування дизайну, що робить його найшвидшим способом розпочати роботу.
SDK надають два варіанти: клієнтські SDK і Backend SDK, залежно від того, чи хочете ви, щоб Descope керував сесіями, чи ви хочете інтегрувати ваш власний сервер зі службами Descope.
REST API призначені для розширених випадків використання та забезпечують гнучкість.
Найбільше мене вразило у Descope відсутність водяного знака навіть у безкоштовному плані, а також наявність SLA 99%, що робить його чудовим варіантом для будь-якого стартапу.
EZiD
На даний момент EZiD є найкращим варіантом для розробників, які хочуть використовувати аутентифікацію за магічним посиланням у своїх застосунках.
Ви можете використовувати їхні API для створення потрібних вам потоків аутентифікації.
EZiD не має безкоштовного плану. Базовий план дозволяє використовувати до 500 MAU та передбачає брендинг EZiD. Тільки при переході на вищі плани можна видалити брендинг EZiD з інтерфейсу користувача.
Перевагою є оплата за використання без обмежень на кількість входів.
Магія в дії!
Якщо ви можете забезпечити надійну доставку електронних листів, немає причин відмовлятися від аутентифікації за магічним посиланням.
Зазвичай вони є швидшою та зручнішою заміною паролям. Проте, бажано уникати використання одноразових паролів у електронних листах з магічними посиланнями, оскільки це суперечить самій їхній меті. Найкращим варіантом є одне посилання, після переходу за яким користувач автоматично потрапляє до системи.
Це все на сьогодні. До зустрічі!
PS: Ознайомтеся з докладним посібником з багатофакторної аутентифікації.