Geekly articles weekly

Autorisierung ohne Autorisierung: Wir sammeln keine personenbezogenen Daten

In einer Zeit des totalen Datenverlusts durch Internetgiganten und der strafrechtlichen Verfolgung in einer digitalen Umgebung haben Benutzer Angst, Informationen über sich selbst zu hinterlassen. Insbesondere bei einem VPN-Dienst, bei dem der Benutzer seine persönlichen Daten auch während der Registrierung nicht eingeben möchte und der Zugriff auf den Dienst auf verschiedenen Plattformen schnell und ohne unnötige Informationen erfolgen muss. Wir haben unseren GuruVPN-Dienst unter dem Motto "People's VPN" erstellt. Daher war es sehr wichtig, die Installation und Überprüfung der Benutzer auf einfachste und anonymste Weise durchzuführen.

In diesem Artikel möchten wir unsere Erfahrungen bei der Implementierung eines Benutzerautorisierungssystems auf verschiedenen Plattformen teilen. Diese einzigartige Lösung ermöglichte es uns, keine persönlichen Daten von Benutzern zu sammeln oder zu speichern. Absolut.

Hintergrund


In der ersten Phase entschied unser Team, dass die Anwendung über ein klassisches Autorisierungs- / Registrierungssystem verfügt: E-Mail oder Telefon, damit der Benutzer ein Abonnement von einem Gerät aus ausstellen und bezahlen und den Zugriff auf alle Geräte aktivieren kann.

Wir haben ein Format ausgewählt und angefangen, Dokumentation zu schreiben, aber irgendwann stellte sich die Frage: Wie können Abonnementdaten im App Store und bei Google Play kombiniert werden, damit sie auf beiden Plattformen synchronisiert werden können? Und dies so zu tun, dass eine gemeinsame Abonnementdauer festgelegt wird, und außerdem widersprach das System bei der Ausgabe nicht unserer Position, „keine Benutzerdaten zu sammeln“.

Aus diesem Grund haben wir begonnen, ein System zu entwickeln, das die folgenden Punkte erfüllt:

  • hat keine persönlichen Daten von Benutzern gesammelt oder gespeichert
  • ermöglichte die Idee eines automatisch erneuerbaren Abonnements auf mehreren Plattformen

Und unser Team hat ein einzigartiges Format gefunden - ein System temporärer Token für die Desktop-Autorisierung wurde entwickelt.

Login


Was ist das Geheimnis einer solchen Entscheidung?

Der Benutzer muss die Anwendung auf seinem Smartphone installieren, das Abonnement sicher und schnell bezahlen und mithilfe eines QR-Codes in einer Aktion auf einem anderen Gerät autorisieren. Melden Sie sich ohne Anmeldeinformationen an und erwerben Sie den Zugriff erneut.

Wie funktioniert es für den Benutzer?


  • Nach dem Herunterladen des Programms auf den Desktop wird ein Autorisierungsbildschirm angezeigt, in dem ein QR-Code angezeigt wird.
  • Laden Sie die mobile App mit In-App-Abonnement aus dem App Store / Google Play herunter und starten Sie sie
  • Scannen Sie den Autorisierungscode oder geben Sie ihn in die mobile Anwendung ein
  • Nach erfolgreicher Autorisierung warten Sie auf das Laden des Verbindungssteuerungsbildschirms
  • Wählen Sie ein Land für die Verbindung aus und klicken Sie auf "Verbinden".
  • Nach Erhalt der Berechtigungen wird eine VPN-Verbindung hergestellt

Wie es wirklich funktioniert



  1. Bei der Erstautorisierung fordert die Desktopanwendung ein temporäres Token an.
  2. Ein temporäres Token wird automatisch in der Datenbank generiert und an die Desktopanwendung übergeben. Für maximale Datensicherheit beträgt die Lebensdauer unseres Tokens 15 Minuten.
  3. Die Desktop-Anwendung zeigt auf dem Hauptbildschirm einen QR-Code und ein offenes Token für eine mobile Anwendung an.
  4. Die mobile Anwendung scannt den QR-Code und erkennt den vom Benutzer manuell eingegebenen Code und sendet ihn an die API-Anforderung, um eine Bestätigung des Geräts des Benutzers zu generieren.
  5. Die Desktop-Anwendung fordert vom Server des Benutzers, an den das Token gebunden ist, die Berechtigung an, sofern die Bindung vorhanden ist. Die API gibt die ID und das Token ohne Probleme zur Autorisierung an.

Somit war es möglich, ein sehr einfaches und vor allem anonymes Benutzerautorisierungsschema im System zu implementieren, das es ohne unnötige Schritte ermöglicht, den Zugriff auf die Anwendung auf verschiedenen Plattformen mit einem einzigen Abonnement zu ermöglichen.

Wie es im Mobile App Store funktioniert. Zum Beispiel im App Store


Wir werden uns nicht im Detail mit dem Prozess der Implementierung von In-App-Käufen befassen, wir haben bereits viel darüber in Habré geschrieben.

In der ersten Phase werden der Empfangs- und Abonnementstatus auf dem Server überprüft und die Anforderungsparameter überprüft. Nach erfolgreicher Überprüfung gibt die Anwendung den Abonnementstatus und das Sitzungstoken zurück.

Nach der Validierung der Prüfung startet der Algorithmus:



Ergebnis


Der Autorisierungsprozess ist sehr einfach und schnell: Die Installation und Autorisierung einer Anwendung auf einem Desktop dauert im Durchschnitt nur wenige Minuten und erfordert nur minimalen Aufwand für den Benutzer. In dem geplanten Projekt stellte sich heraus, dass ein integriertes Einkaufssystem in einem plattformübergreifenden Format implementiert wurde, wobei die vollständige Anonymität der Benutzerdaten gewahrt blieb, was für den VPN-Dienst eine sehr wichtige Tatsache ist. Und was wichtig ist, wir konnten den Prozess so umsetzen, dass er voll und ganz dem Geist des Projekts entsprach - „eine Anwendung für die Menschen“.

Source: https://habr.com/ru/post/de426079/

More articles:


All Articles