Geekly articles weekly

Autorisation sans autorisation: nous ne collectons pas de données personnelles

À une époque de fuites totales de données par les géants de l'Internet et de poursuites pénales dans un environnement numérique, les utilisateurs ont peur de laisser des informations les concernant. Surtout lorsqu'il s'agit d'un service VPN, où l'utilisateur ne souhaite pas saisir ses données personnelles même lors de son inscription, et l'accès au service sur différentes plateformes doit être rapide et sans information inutile. Nous avons créé notre service GuruVPN sous la devise «People’s VPN», il était donc très important de créer le moyen le plus simple et anonyme pour installer et vérifier les utilisateurs.

Dans cet article, nous souhaitons partager notre expérience dans la mise en œuvre d'un système d'autorisation utilisateur sur différentes plateformes. Cette solution unique nous a permis de ne pas collecter ni stocker de données personnelles des utilisateurs. Absolument.

Contexte


Dans un premier temps, notre équipe a décidé que l'application disposerait d'un système d'autorisation / d'enregistrement classique: e-mail ou téléphone, afin que l'utilisateur puisse émettre et payer un abonnement à partir d'un seul appareil et activer l'accès sur tous les appareils.

Nous avons choisi un format, commencé à rédiger de la documentation, mais à un moment donné, la question s'est posée: comment combiner les données d'abonnement dans l'App Store et Google Play, afin qu'il soit possible de les synchroniser sur les deux plateformes? Et pour ce faire de manière à établir une durée d'abonnement commune, et d'ailleurs, en sortie, le système ne contredit pas notre positionnement «ne pas collecter de données utilisateur».

Par conséquent, nous avons commencé à développer un système qui respecterait les points suivants:

  • n'a pas collecté ni stocké de données personnelles des utilisateurs
  • permis l'idée d'un abonnement auto-renouvelable sur une base multi-plateforme

Et notre équipe a trouvé un format unique - un système de jetons temporaires a été développé pour l'autorisation de bureau.

Se connecter


Quel est le secret d'une telle décision?

L'utilisateur doit installer l'application sur son smartphone, payer l'abonnement en toute sécurité et rapidement, et utiliser le code QR en une seule opération pour l'autoriser sur un autre appareil. Sans informations d'identification, connexion et accès de réachat.

Comment ça marche pour l'utilisateur


  • Après avoir téléchargé le programme sur le bureau, un écran d'autorisation apparaît dans lequel un code QR s'affiche.
  • Téléchargez et lancez l'application mobile depuis l'App Store / Google Play avec un abonnement intégré
  • Scannez ou entrez le code d'autorisation dans l'application mobile
  • Après une autorisation réussie, vous attendez que l'écran de contrôle de connexion se charge
  • Choisissez un pays pour vous connecter et cliquez sur "Connecter"
  • Après avoir obtenu les autorisations, une connexion VPN sera établie

Comment ça marche vraiment



  1. À l'autorisation principale, l'application de bureau demande un jeton temporaire;
  2. Un jeton temporaire est automatiquement généré dans la base de données et donné à l'application de bureau. Pour une sécurité maximale des données, la durée de vie de notre token est de 15 minutes;
  3. L'application de bureau affiche sur l'écran principal un code QR et un jeton ouvert pour une application mobile;
  4. L'application mobile scanne le code QR et reconnaît le code saisi manuellement par l'utilisateur et l'envoie à la demande d'API pour générer une confirmation de l'appareil de l'utilisateur;
  5. L'application de bureau demande l'autorisation du serveur de l'utilisateur, auquel le jeton est lié, si la liaison existe - l'API donne l'ID et le jeton pour autorisation sans aucun problème.

Ainsi, il a été possible de mettre en œuvre un système d'autorisation utilisateur très simple et surtout anonyme dans le système, qui vous permet de fournir l'accès à l'application sur différentes plates-formes sans étapes inutiles avec un seul abonnement.

Comment cela fonctionne dans la boutique d'applications mobiles. Par exemple, dans l'App Store


Nous ne nous attarderons pas sur le processus de mise en œuvre des achats intégrés, nous avons déjà beaucoup écrit à ce sujet dans Habré.

Lors de la première étape, l'état de réception et d'abonnement est vérifié sur le serveur, les paramètres de demande sont vérifiés. Une fois la vérification réussie, l'application renvoie l'état de l'abonnement et le jeton de session.

Après la validation du contrôle, l'algorithme démarre:



Résultat


Le processus d'autorisation est très simple et rapide: en moyenne, l'installation et l'autorisation d'une application sur un bureau ne prennent que quelques minutes et nécessitent un effort minimal de la part de l'utilisateur. Dans le projet, comme prévu, il s'est avéré implémenter un système d'achat intégré dans un format multiplateforme, tout en maintenant l'anonymat complet des données utilisateur, ce qui est un fait très important pour le service VPN. Et ce qui est important, nous avons pu mettre en œuvre le processus de manière à ce qu'il corresponde pleinement à l'esprit du projet - «une application pour le peuple».

Source: https://habr.com/ru/post/fr426079/

More articles:


All Articles