Sosyal giriş nasıl çalışır
Sosyal giriş, federasyonun tüketici kimliğine uygulanmış halidir. Kullanıcı "Google ile devam et" gibi bir düğmeye tıkladığında uygulama onu OAuth 2.0 ve OpenID Connect kullanarak seçtiği sağlayıcıya yönlendirir. Sağlayıcı kullanıcıyı kendi zorunlu kıldığı yöntemlerle doğrular, ardından e-posta adresi ve görünen ad gibi doğrulanmış öznitelikleri içeren imzalı bir kimlik jetonu döndürür.
Uygulama jetonun imzasını doğrular, yerel bir hesabı eşleştirir veya oluşturur ve oturumu başlatır. Kullanıcı uygulamaya hiçbir zaman parola yazmaz, uygulama da sağlayıcı kimlik bilgilerini hiç görmez. Çoğu uygulama birden fazla sağlayıcıyı yan yana destekler ve hesap bağlama sayesinde daha sonra farklı bir sağlayıcıyla giriş yapan kullanıcı yine aynı hesaba ulaşır.
Sosyal giriş neden önemli
Kayıt sürecindeki sürtünme, kullanıcıların üyelik akışlarını yarıda bırakmasının en büyük nedenlerinden biridir. Sosyal giriş, yeni bir parola uydurup hatırlama zorunluluğunu ortadan kaldırır; bu da dönüşümü artırır ve uygulamanın korumak zorunda olduğu zayıf ya da tekrar kullanılan kimlik bilgilerinin sayısını azaltır.
Güvenlik sorumluluğu da MFA, anomali tespiti ve sızmış parola taraması gibi hesap korumasına ciddi yatırım yapan sağlayıcılara kayar. Bunun bedeli bağımlılıktır: sağlayıcı hesabı ele geçirilir veya silinirse arkasındaki tüm uygulamalara erişim etkilenir; bu yüzden ciddi kurulumlar yine de üzerine kendi risk kontrollerini ekler.
Uygulamada sosyal giriş
Sağlayıcı seçimi hedef kitleye göre yapılmalıdır. Tüketici uygulamaları genellikle Google ve Apple ile başlar; kurumsal ürünler ise Microsoft ve GitHub hesaplarından daha çok fayda görür. Her sağlayıcı için uygulamanın kaydedilmesi, yönlendirme adreslerinin yapılandırılması ve yalnızca gerçekten gereken kapsamların, çoğunlukla sadece profil ve e-posta, istenmesi gerekir.
İyi uygulamalar, hesap eşleştirmede e-posta adresine güvenmeden önce sağlayıcının bu adresi doğruladığından emin olur; sosyal hesabına erişimini kaybeden kullanıcılar için bir yol sunar ve en az bir alternatif giriş yöntemi sağlar. Monosign, kurumsal SSO protokollerinin yanında Google, Microsoft, Apple ve GitHub sınıfındaki büyük sağlayıcılarla sosyal girişi destekler; böylece tüketici tarzı giriş ile kurumsal federasyon aynı platformda çalışabilir.