Te odnośniki otwierają nową erę bezpiecznego logowania, w której hasła odchodzą do lamusa.
Autoryzacja użytkownika to kluczowy element każdej aplikacji biznesowej. Z jednej strony, musi być ona niezwykle bezpieczna, chroniąc wrażliwe dane. Z drugiej, powinna być intuicyjna i wygodna dla użytkowników, aby nie zniechęcać ich do korzystania z aplikacji.
Od zarania internetu hasła były standardowym sposobem uwierzytelniania. Początkowo proste kombinacje cyfr lub liter, takie jak „1234” czy „qwerty”, wystarczały. Niestety, w miarę rozwoju cyberprzestępczości, ich skuteczność zaczęła drastycznie spadać.
W odpowiedzi na to, pojawiły się menedżery haseł. Generują one i zapisują skomplikowane hasła, aby zwiększyć bezpieczeństwo logowania. Jednak wiele osób nadal niechętnie korzysta z tych narzędzi, napotykając na pewne trudności:
źródło: statista.com
W związku z powyższym, pojawiła się potrzeba stworzenia czegoś, co będzie zarówno prostsze, jak i bezpieczniejsze.
I tu pojawia się uwierzytelnianie bez hasła!
To nowoczesna i znacznie bezpieczniejsza alternatywa dla tradycyjnych haseł. Jest łatwiejsza w obsłudze i oferuje płynniejsze doświadczenie użytkownika.
Przykładowo, Apple Face ID to doskonały przykład uwierzytelniania bez hasła, którego nie sposób nie docenić. Podobnie, uwierzytelnianie biometryczne oraz hasła jednorazowe również eliminują konieczność zapamiętywania skomplikowanych ciągów znaków.
Istnieje wiele tego typu technik, a wśród nich warto zwrócić uwagę na Magic Links.
Czym są Magic Links?
Magic Links to mechanizm, w którym użytkownik podaje swój identyfikator, a następnie otrzymuje na swój adres e-mail specjalny link. Kliknięcie w ten link automatycznie loguje go do systemu.
W idealnym świecie, gdzie e-maile działają bez zarzutu, a wszystkie platformy korzystają z uwierzytelniania za pomocą Magic Links, użytkownicy musieliby pamiętać tylko jedno hasło – do swojej skrzynki e-mail.
Resztą zajęłyby się Magic Links. Z punktu widzenia użytkownika to o wiele bardziej wygodne rozwiązanie. Dodatkowo sprawia, że próby łamania haseł stają się bezcelowe.
Oto kilka narzędzi, które pomogą Ci wdrożyć to rozwiązanie w Twojej aplikacji.
Stytch
Największą zaletą Stytch jest jego prostota implementacji oraz dostępny darmowy plan na start.
Istnieją dwie metody integracji Magic Links ze Stytch: poprzez API oraz SDK.
Obecnie Stytch SDK dostępne jest dla JavaScript, React i Next.js. To najszybsza metoda, która pozwala na minimalizację komplikacji. Otrzymujesz gotowy interfejs użytkownika, który można dostosować do identyfikacji wizualnej Twojej marki.
Z kolei Stytch API daje Ci pełną kontrolę nad projektem.
Darmowy plan jest przeznaczony dla 5000 aktywnych użytkowników miesięcznie (MAU). Po przekroczeniu tego limitu, opłaty są naliczane zgodnie z rzeczywistym zużyciem.
Płatne subskrypcje zapewniają większe możliwości personalizacji oraz usuwają branding Stytch.
FusionAuth
FusionAuth również oferuje własny interfejs, wymagający minimalnej konfiguracji, oraz bezhasłowe API, zapewniające pełną elastyczność.
Magic Links wysyłane przez FusionAuth zawierają kod o ograniczonym czasie ważności, który użytkownik musi wprowadzić w formularzu logowania. Opcja API pozwala na przesłanie tego kodu SMS-em lub powiadomieniem push, co zapewnia jeszcze większą wygodę.
Dodatkowo FusionAuth obsługuje uwierzytelnianie Google One Tap, które automatycznie wykrywa aktywne konta Google w przeglądarce i umożliwia logowanie jednym kliknięciem.
FusionAuth oferuje dwie opcje subskrypcji w zależności od hostingu.
Możesz skorzystać z dowolnego hosta. Dostępny jest również bezpłatny plan, wspierany przez społeczność, bez limitu miesięcznych aktywnych użytkowników. Hosting w chmurze nie posiada planów darmowych. Możesz jednak przetestować podstawowy plan przez 14 dni za darmo.
WorkOS
WorkOS udostępnia swoje SDK w wielu językach programowania, takich jak Node.js, Ruby, Python, Java, .Net, ułatwiając rozpoczęcie pracy.
Możesz skorzystać z API WorkOS lub niestandardowego dostawcy poczty e-mail, aby wysyłać wiadomości e-mail uwierzytelniające z Magic Link. Linki jednorazowe są aktywne przez 15 minut.
WorkOS oferuje liczne szablony wiadomości e-mail, które można dostosować do swojej marki.
Dodatkowo można zacząć korzystanie za darmo, bez żadnych opłat wstępnych.
MojoAuth
Dzięki gotowym integracjom z platformami takimi jak WordPress, Webflow, Bubble, MojoAuth oferuje jeden z najszybszych sposobów implementacji Magic Links.
Jego SDK jest dostępne w wielu językach i platformach, takich jak Node.js, Java, Android, Golang, iOS, PHP, Asp.net.
Ponadto, jego API umożliwia programistom tworzenie niestandardowych aplikacji. MojoAuth pozwala również na korzystanie z Magic Links w standardowej konfiguracji uwierzytelniania wieloskładnikowego (MFA) za pomocą niezależnych API.
Największą zaletą MojoAuth jest interfejs użytkownika z możliwością personalizacji oraz gwarancja dostępności na poziomie 99,9%.
Podstawowy plan zaczyna się od 1000 jednostek MAU. Wszystkie plany oferują nielimitowaną liczbę użytkowników, logowań, e-mail OTP, zarządzanie zespołem. Choć nie oferuje darmowego planu, możesz skorzystać z 30-dniowego okresu próbnego.
Supabase
Supabase to narzędzie open source do zarządzania uwierzytelnianiem za pomocą Magic Links.
Możesz wykorzystać Supabase na dwa sposoby. Pierwszym z nich jest bezpośrednie dodanie bezhasłowej autoryzacji do projektów Supabase jako bazy danych Postgres. Drugim sposobem jest zaimplementowanie logowania za pomocą kodu w swoich aplikacjach, napisanych w JavaScript lub Flutter.
Jeśli chodzi o ceny, można zacząć za darmo, do 50 000 jednostek MAU i 200 jednoczesnych połączeń. Płatne plany dodają takie funkcje, jak obsługa poczty e-mail, codzienne kopie zapasowe, 7-dniowe przechowywanie logów, większą przepustowość.
Clerk
Clerk zapewnia kompletną funkcjonalność Magic Links, w pełni zaimplementowaną i gotową do użycia w zaledwie kilka minut.
Uwierzytelnianie za pomocą Magic Links obejmuje przekierowanie z linkiem jednorazowym (OTP). Dodatkowo, Magic Links można również włączyć w procesie MFA.
API Clerk jest dostępne w Next.js, React i JavaScript. Możesz użyć uwierzytelniania za pomocą Magic Links do rejestracji, logowania i weryfikacji adresu e-mail.
Jego darmowy plan oferuje 5000 MAU, nieograniczoną liczbę kont, niestandardowe domeny i wsparcie społeczności z własną marką. Płatne plany rozszerzają ten limit do nieograniczonej liczby MAU i niestandardowych domen, umożliwiają zarządzanie listą zablokowanych/dozwolonych, MFA, personalizację czasu trwania sesji.
Descope
Magic Links Descope pozwalają na logowanie za pomocą adresów URL i haseł jednorazowych, a także oferują darmowy plan dla startupów do 7500 jednostek MAU.
Implementacja jest prosta dzięki elastycznym opcjom, takim jak SDK, API i Flows.
Descope Flows to interfejs „przeciągnij i upuść” bez kodu, za pomocą którego można tworzyć schematy interakcji użytkownika. Obejmuje on narzędzie do tworzenia przepływów, narzędzie do tworzenia ekranów i narzędzie do dostosowywania wyglądu, co sprawia, że rozpoczęcie pracy jest bardzo szybkie.
SDK dostępne są w dwóch wariantach: Client SDK i Backend SDK, w zależności od tego, czy chcesz, aby Descope zarządzał sesją, czy integrował własny serwer z usługami Descope.
Dodatkowo ich API REST oferuje zaawansowane funkcje z dużą elastycznością.
Jednak najbardziej przekonuje brak znaku wodnego w darmowym planie i SLA na poziomie 99%, co czyni Descope dobrym wyborem dla każdego startupu.
EZiD
Obecnie EZiD jest najlepszy dla programistów, którzy chcą zaimplementować uwierzytelnianie za pomocą Magic Links w swoich aplikacjach.
Ich API umożliwia tworzenie przepływów uwierzytelniania zgodnie z indywidualnymi potrzebami.
EZiD nie posiada darmowego planu. Plan podstawowy oferuje maksymalnie 500 jednostek MAU i wyświetla własny branding. Usunięcie brandingu EZiD jest możliwe dopiero po przejściu na wyższe plany.
Dobrą stroną jest to, że opłaty naliczane są zgodnie z rzeczywistym użyciem, bez limitu logowań.
To magia!
Jeśli możesz zagwarantować bezproblemową dostawę wiadomości e-mail, nie ma powodu, aby unikać uwierzytelniania za pomocą Magic Links.
Stanowią one zazwyczaj szybszą i bardziej przyjazną alternatywę dla haseł. Warto jednak unikać OTP w e-mailach z Magic Links, ponieważ mija się to z celem. Idealnym rozwiązaniem jest pojedynczy link, który automatycznie loguje użytkownika.
To wszystko na dziś. Do następnego razu!
PS: Sprawdź obszerny przewodnik na temat uwierzytelniania wieloskładnikowego.
newsblog.pl
Maciej – redaktor, pasjonat technologii i samozwańczy pogromca błędów w systemie Windows. Zna Linuxa lepiej niż własną lodówkę, a kawa to jego główne źródło zasilania. Pisze, testuje, naprawia – i czasem nawet wyłącza i włącza ponownie. W wolnych chwilach udaje, że odpoczywa, ale i tak kończy z laptopem na kolanach.