Sicuramente avrete visto e usato molte volte il social login su molti siti web, noto come sign-in-with. Wikipedia lo descrive come:
Il social login, noto anche come social sign-in, è una forma di single sign-on che utilizza le informazioni esistenti di un servizio di social network come Facebook, Twitter o Google+ per accedere a un sito web di terze parti, invece di creare un nuovo account di accesso specifico per quel sito. È stato progettato per semplificare i login degli utenti finali e per fornire informazioni demografiche sempre più affidabili agli sviluppatori web.
Il social login è spesso considerato una porta d'accesso a molte delle recenti tendenze del social software e del social commerce, perché può essere utilizzato come meccanismo sia di autenticazione che di autorizzazione.
In questa sede non voglio spiegarvi perché esiste, come si usa o come si implementa nel vostro sito web. Ci sono molti posti là fuori che vi daranno un'ottima visione di questo tipo di autenticazione. Fate una prova e cercate "cos'è il social login" su un noto sito di ricerca.
Vorrei parlare della responsabilità che si ha quando si utilizza questo tipo di iscrizione in un sito web che fornisce un login sociale. TweetEraser, ad esempio, utilizza un login sociale come "Sign in with Twitter", in modo da poterne utilizzare le funzionalità e ripulire la vostra linea temporale. Ma cosa significa?
Una volta creato il vostro account Twitter, dovrete impostare il vostro nome di accesso e la vostra password. Con queste credenziali sarete in grado di accedere a Twitter ogni volta che lo desiderate. Utilizzare il social login di TweetEraser significa che TweetEraser non ha bisogno del nome utente e/o della password originali. TweetEraser chiede invece all'utente, tramite il modulo di accesso a Twitter, il permesso di utilizzare parti del suo account Twitter. Potete concedere questa autorizzazione tramite il login. Una volta fatto ciò, TweetEraser e Twitter comunicheranno in background tra loro. Twitter si assicura che TweetEraser ottenga solo i permessi per il vostro account che avete consentito durante l'accesso a Twitter.
Questa comunicazione in background avverrà tramite il cosiddetto token di accesso, completamente indipendente dalla credenziale originale di Twitter. Finché non si revoca l'autorizzazione concessa.
Vi chiedo. Perché ci sono così tanti di voi che si lamentano della mancanza di un'opzione di uscita da TweetEraser. E non solo. Nel frattempo ho sentito molti altri proprietari di siti web che hanno ricevuto le stesse lamentele per la mancanza dell'opzione di uscita.
Ci sono affermazioni come "molto poco amichevole per l'utente" o "dove c*** posso fare il logout", solo per citarne alcune. Perché non pensate alla VOSTRA RESPONSABILITÀ? Avete dato a un'applicazione di terze parti, come TweetEraser, il permesso di utilizzare almeno alcune parti del vostro account sui social media. Quindi siete voi i responsabili, potete revocare l'accesso che vi è stato dato in qualsiasi momento. Nel caso di Twitter potete farlo qui. Altri social network hanno opzioni simili per revocare l'accesso. Su Twitter basta cercare "TweetEraser" e cliccare sul pulsante "Revoke access". FATTO.
Ovviamente direte: "Sì, è bello. Ma che dire dei dati che avete salvato sul vostro sistema per poter utilizzare quelle parti del mio account sui social media?". E avete ragione. Voglio dire, non posso parlare per altri fornitori di applicazioni di terze parti. Ma noi di TweetEraser stiamo andando in questa direzione:
Al primo accesso dobbiamo utilizzare il token di accesso di cui sopra per comunicare con Twitter. In questo modo otteniamo i dettagli del vostro account, come il nome dello schermo, l'avatar, la posizione e così via, ma NON il vostro indirizzo e-mail. Il passo successivo è quello di scaricare i vostri ultimi 3200 tweet. 3200 tweet. Salviamo anche il token di accesso corrente temporaneamente all'interno del database. Tutto qui.
Se la sessione corrente di TweetEraser è scaduta, rimuoviamo automaticamente il token di accesso dal database. Per cancellare la sessione è sufficiente chiudere il browser o la singola scheda in cui si sta eseguendo TweetEraser. Non è quindi necessaria un'azione di logout né un'azione di sign-out. Se non si effettua un nuovo accesso con il proprio account Twitter entro i 10 giorni successivi, tutti gli altri dati (informazioni sull'account e tweet scaricati) verranno eliminati automaticamente. Questo vale solo per il piano "Free Eraser". Per tutti i piani a pagamento conserviamo almeno le informazioni dell'account Twitter.
Il resto dipende da voi. Se non volete più usare TweetEraser, basta che non vi iscriviate di nuovo. Se volete assicurarvi che non ci sia alcuna comunicazione tra TweetEraser e il vostro account Twitter, revocate semplicemente l'accesso. PRENDETEVI LA VOSTRA RESPONSABILITÀ!