Работа авторизации
Процесс авторизации и особенности
- Процесс авторизации со стороны пользователя
- Уровни защиты от взлома и подбора
- Особености авторизации через WhatsApp
Процесс авторизации со стороны пользователя
Пользователь на вашем сайте или в приложении получает уникальный код и ссылки на чат-боты. Для пользователей это понятный процесс.
Мы советуем визуально "понятно" показать код, с возможностью сделать копию кода в буфер обмена и кнопки для перехода в мессенджеры.
Референсы по визуальному решению в приложении:
Вы можете предложить дополнительные входы в приложение, добавив кнопку отказа, лучше использовать формулировки "У меня нет мессенджеров" или "Другой способ авторизации".
Если использовать формулировки "Получить SMS" или "Войти через SMS", вход через мессенджеры будут пропускать чаще, что увеличит расходы, так как SMS авторизация стоит значительно дороже.
Пользователь копирует код и переходит в удобный ему мессенджер.
Первый вход в бота
Если пользователь первый раз использует такой способ, то Telegram и Viber запросят разрешение на доступ к номеру телефона, пользователю следует нажать на кнопку "отправить номер телефона".
В WhatsApp такое действие не требуется, так как по умолчанию номер телефона публичный.
Первое сообщение на русском и английском языке, но далее бот общается с пользователем на языке его профиля.
После того как пользователь предоставит доступ к телефон, он получит сообщение, что может продолжить авторизацию, отправив код, что скопировал ранее.
Процесс входа
Пользователь не может отправить чужой номер, будет использован только номер, который указан в профиле мессенджера.
После отправки кода, чат-бот сообщит, что авторизация успешна. В методах REST API вы получите сообщение об этом.
Уровни защиты от взлома и подбора
Защита от подмены номера
При первом входе в чат бот пользователь должен предоставить свой номер, мессенджеры позволяют отправить карточки контакта в чат, но такие данные будут проигнорированы, а пользователь получит сообщение, что он совершает незаконные действия.
Пользователь не может пройти авторизацию использовав не свой номер телефона
Защита от подбора
В случае, если будет происходить попытка подбора кода пользователем, то после 6 попытки он будет заблокирован на 5 минут, за это время сессия авторизации будет просрочена, и попытка подбора закончится только 6 вариантами.
При попытке подобрать код авторизации происходит блокировка до окончания сессии авторизации.
Особености авторизации через WhatsApp
При авторизации через WhatsApp пользователю не надо предоставлять доступ к номеру телефона, так как он доступен по умолчанию сразу.
Также бот авторизации через WhatsApp не отвечает на сообщения. В прошлых версиях бот отвечал на сообщение кода клиентов, но правила и алгоритмы WhatsApp на текущий момент не позволяют реализовать ответы без последующей блокировки сервисных номеров Auth4App.
Но по статистике проектов наших клиентов, WhatsApp остается самым популярным способом входа и включает минимальное кол-во не успешных авторизаций.
Почему?
Так как чаще всего у клиента стоит один WhatsApp клиент с одним номером, в отличии от Telegram, который позволяет добавить несколько акаунтов на один телефон. Большая часть пользователей в WhatsApp используют свой основной номер, с которым и проходит авторизацию.
WhatsApp покрывает большее кол-во аудитории разного возраста и более распространен среди старшего поколения.