Optionen zur Benutzerauthentifizierung für Shopify-Shops - Unsere Erfahrung und einige Ratschläge
Paul Grieselhuber
Als Shopify-Geschäftsinhaber möchten Sie Ihren Nutzern höchstwahrscheinlich die Möglichkeit geben, sich zu authentifizieren und zu identifizieren. Die Authentifizierung dient vielen Zwecken für Sie als Geschäftsinhaber und ist der Kern Ihrer Fähigkeit, direkt mit Ihren Kunden auf einer Eins-zu-Eins-Basis in Verbindung zu treten.
Wenn Sie ein neuer Geschäftsinhaber sind, wird es Sie vielleicht überraschen, dass die Authentifizierung ein ziemlich umfangreiches Thema mit vielen möglichen Ansätzen und Stilen ist.
Wenn Sie sich noch nie eingehend mit dem Thema Authentifizierung beschäftigt haben, denken Sie vielleicht: "Ach, Sie meinen die Sache, bei der ich einen Benutzernamen und ein Passwort eingebe? Ich bin bereit."
Und Sie könnten Recht haben. Aber vielleicht auch nicht.
Mit diesem Beitrag möchten wir Geschäftsinhabern helfen, die Authentifizierungsoptionen zu verstehen, die Auswirkungen dieser Wahl auf ihre Möglichkeiten und letztendlich auf ihren Erfolg.
Was wir in diesem Artikel behandeln werden
Als kurzen Überblick finden Sie hier eine Liste der Dinge, die wir in diesem Artikel in Bezug auf die Authentifizierung behandeln und nicht behandeln werden:
Benutzererfahrung im Zusammenhang mit der Authentifizierung - Abgedeckt ✅
Nutzenversprechen für den Geschäftsinhaber - abgedeckt ✅
Sicherheit - Nicht abgedeckt, zumindest nicht in wirklicher Tiefe ❌
Warum wird das Thema Sicherheit nicht vertieft? Sicherheit ist zwar ein wichtiges Thema, das wir sehr ernst nehmen, aber es ist ein enormes Thema, das es verdient, gesondert betrachtet zu werden.
Lassen wir das beiseite und kommen wir direkt zur Sache - was ist die beste Authentifizierungsoption für Ihren e-commerce store?
Die Antwort ist natürlich, dass es darauf ankommt.
Überlegungen für Shopify-Shopbesitzer bei der Wahl einer Authentifizierungsstrategie
Wie Ihr Shop aufgebaut ist, hat einen großen Einfluss darauf, welche Optionen Sie für die Authentifizierung haben. Die beiden Hauptoptionen sind: Shopify-Theme oder Headless-Store.
Authentifizierung für Shops mit Shopify-Themen
Wenn Sie ein Shopify-Theme verwenden, sei es ein Standard-Theme aus einem Shopify-Theme-Shop oder ein Theme, das ein Entwickler für Sie angepasst hat, dann ist die Authentifizierung sehr einfach.
In diesem Fall müssen Sie sich als Shopbetreiber keine großen Gedanken über die Implementierung machen. In der Regel wird ein Shopify-Theme die Authentifizierung über einen einfachen Benutzernamen und ein Passwort abwickeln - bewährt und wahr... irgendwie.
Die Authentifizierung auf der Basis von Anmeldeinformationen (d. h. Benutzername und Kennwort) wird jeden Tag mehr und mehr überholt, da sie nicht mehr so gut wie früher geeignet ist, Konten sicher zu halten. Das bedeutet, dass sich die Benutzer mit der Zeit an sicherere Authentifizierungsmethoden gewöhnen und die auf Anmeldeinformationen basierende Authentifizierung schließlich als seltsam/unsicher ansehen werden. Sobald diese Wahrnehmung einen Wendepunkt erreicht, wird es für alle mehr oder weniger an der Zeit sein, die Anmeldedaten in ihren E-Commerce-Shops zu verwerfen.
Das heißt, Mitte 2024 ist es wahrscheinlich immer noch in Ordnung für sehr kleine Geschäfte, die gerade erst mit dieser ganzen E-Commerce-Sache anfangen.
Allerdings gibt es hier einen wichtigen Vorbehalt, auf den wir später noch eingehen werden.
Authentifizierung für Shopify-Shops ohne Kopf
Es ist sehr wahrscheinlich, dass Ihr Shop mit dem Wachstum über die Shopify-Themes hinauswächst - d.h. Themes, die auf der Liquid-Templating-Sprache von Shopify basieren und direkt von Shopify als "Frontend" Ihres Shops bereitgestellt werden (wobei der Shopify-Admin selbst "das Backend" ist).
Und wenn dies der Fall ist, gehen Sie den Weg eines so genannten "Headless"-Shops. Bei einem Headless-Shop dient die Shopify-Verwaltung weiterhin als "Backend" und als "Motor" Ihres Shops (d. h. Verarbeitung von Zahlungen, Speicherung von Produkten, Kunden, Bestellungen usw.), während das "Frontend" (d. h. Produktseiten, Schaltflächen für Benutzer zum Hinzufügen zum Einkaufswagen, der Einkaufswagen selbst) auf einer anderen Technologie basiert, die anspruchsvollere, modernere und leistungsfähigere Einkaufserlebnisse ermöglicht.
Headless Stores sind ein weiteres großes Thema, aber in Bezug auf die Authentifizierung bedeutet dies, dass das einfache Anmeldeformular mit Benutzername und Passwort, das Sie bisher verwendet haben, nicht mehr verfügbar ist. Zumindest das gleiche Formular - Sie können immer noch eine auf Anmeldeinformationen basierende Authentifizierung verwenden, aber Ihr Entwickler muss sie für Sie implementieren.
Bevor Sie sich dazu entschließen, einfach das zu implementieren, was Sie vorher hatten, sollten Sie die Gelegenheit nutzen, um die Optionen, die Ihnen jetzt zur Verfügung stehen, zu durchdenken. Lassen Sie uns die Authentifizierung für Headless Shopify-Shops aus der 30.000-Fuß-Perspektive betrachten.
Auch hier lassen sich die Optionen in zwei Kategorien einteilen:
Implementieren Sie ein Referenz-Authentifizierungspaket, das die schwierigsten Aufgaben für Sie übernimmt, oder
Verwenden Sie Shopifys neuartige Kundenkonto-API
Wir verwenden den Begriff "Referenz-Authentifizierungs-Paket" hier etwas locker, aber dies bezieht sich auf Pakete wie Next-Auth (jetzt Auth.js) und seinesgleichen. Ich freue mich auf die Kommentare zu diesem Thema.
Es hängt von der Definition von "richtig" ab, richtig?
Es kann viele Gründe geben, warum das eine oder das andere für Ihr Projekt das Richtige sein kann, und sogar viele Definitionen für "richtig", seltsamerweise.
Mögliche Definitionen für "richtig", auf die wir gestoßen sind:
Der Hauptinteressent kümmert sich nicht um die Sicherheitsimplikationen seiner UX/UI-Präferenz und will einfach nur, dass es so ist" - in diesem Fall, dass er den Leuten in einem Anmeldeformular mitteilt, ob ein Benutzername existiert oder nicht, was natürlich ein großes Tabu ist
Einmalige Passwörter verwenden, natürlich
Verwenden Sie keine Einmal-Passwörter, offensichtlich
Wahrscheinlich haben Sie bemerkt, dass die Sichtweise der einzelnen Interessengruppen, wie die Authentifizierung funktionieren sollte, - Sie haben es erfasst: offensichtlich ist.
Warum könnte die eine oder andere Lösung die richtige für Ihr Projekt sein?
Die Leute haben starke Meinungen darüber, wie die Authentifizierung auf ihrer Website oder in ihrer Anwendung funktionieren soll, und zwar aus einer Reihe von Gründen.
Für manche Menschen haben moderne Sicherheitsrichtlinien oberste Priorität. Manchmal ist die Sensibilität für die Komplexität der Benutzer von größter Bedeutung. In anderen Fällen ist eine geringe Reibung entscheidend. Für andere heißt es "Anmeldeformulare, weil Anmeldeformulare".
Wahrscheinlich haben Sie Ihre eigenen persönlichen Vorlieben und eine Grundlage für diese Vorlieben. Dies zu dokumentieren kann ein guter Anfang sein.
Im nächsten Abschnitt werden wir Ihnen die Werkzeuge an die Hand geben, mit denen Sie diese Annahme in Frage stellen können.
Wichtige Überlegungen jenseits persönlicher Vorlieben
Angenommen, wir haben uns auf eine Definition von "richtig" geeinigt, dann lassen Sie uns nun besprechen, wie Sie die richtige Authentifizierungsstrategie für Ihren Headless Shopify-Shop auswählen.
Weitere Überlegungen zur Auswahl der Authentifizierungsstrategie umfassen:
Wird Shopify immer die E-Commerce-Plattform Ihrer Wahl sein? Sind Sie sicher?
Werden Sie andere Integrationen von Drittanbietern haben, die es erforderlich machen, dass Sie den maßgeblichen Datensatz des "Benutzerkontos" unter Ihrer Kontrolle und auf Ihren Systemen haben?
Erfordert die Governance-Struktur Ihres Unternehmens dies?
Wie gut ist Ihr Entwicklungsteam in der Lage, irgendwann in der Zukunft mit minimalen Auswirkungen auf die Benutzer von einem zum anderen zu migrieren?
Inwieweit sind Sie (oder Ihr Entwicklungsteam) in der Lage, bei einer benutzerdefinierten Implementierung der oben genannten Referenzpakete regulatorische Bedenken wie GDPR zu berücksichtigen und einzuhalten?
Es gibt sicherlich noch viele, viele mehr, aber das sind die Fragen, die im Allgemeinen zuerst und am häufigsten auftauchen.
Und nicht nur das, diese Überlegungen sind bei weitem nicht alles. Was ist zum Beispiel mit UX?
UX im Zusammenhang mit der Authentifizierung geht viel weiter als "wie meldet sich der Benutzer an". Zum Beispiel:
Müssen Sie gezieltes Marketing betreiben? Was Sie mit der von Ihnen gewählten Strategie erreichen können, kann sich auf das auswirken, was Sie mit diesen Marketingmaßnahmen erreichen können.
Wie lang sind die Sitzungen? Müssen Sie dies kontrollieren?
Sind Sie damit einverstanden, dass jemand anderes (z. B. Shopify) die Kontrolle darüber übernimmt? Das sollten Sie nicht, es sei denn, Sie haben eine Website, die Shopifys Kundenkonten-API verwendet, vollständig getestet. Mehr dazu weiter unten.
Wie sieht es mit der Kaufabwicklung aus? Sollten Benutzer während des Bezahlvorgangs eingeloggt sein? Oder reicht es aus, wenn die E-Mail-Adresse bei der Ankunft auf der Kassenseite ausgefüllt wird?
Haben Sie vor, auf Ihrer Website Abonnements oder Mitgliedschaften anzubieten? Dies hat enorme Auswirkungen.
Der Prozess der Auswahl einer geeigneten Authentifizierungsstrategie für ein wachsendes Unternehmen ist in der Tat nuanciert. Diese Liste von Überlegungen ist natürlich lang und vielleicht entmutigend.
Aber wenn Sie sich in der Planungs- und Umfangsphase Ihres Produkts nicht mit diesen Überlegungen auseinandersetzen, werden Sie später wahrscheinlich noch größere Probleme haben.
Dies ist definitiv eine Situation wie bei zwei Marshmallows.
Also gut, genug geschwafelt. Hier ist, was Sie wissen müssen.
Option #1: Implementieren Sie ein Referenz-Authentifizierungspaket
Wählen Sie diese Option, wenn Sie eine der folgenden Optionen für Ihren Authentifizierungsablauf verwenden möchten:
Ein Anmeldeformular mit einem Benutzernamen und einem Passwort
Zur Verwendung von Single Sign-on-Diensten wie Google, Facebook usw.
Sie möchten "magische Links" zulassen - d.h. der Benutzer gibt seine E-Mail ein, ein Link wird an seinen Posteingang geschickt, er klickt darauf und ist angemeldet
Dies ist auch der beste Ort, um auf den Vorbehalt einzugehen, den wir oben im Abschnitt "Authentifizierung für Shops mit Shopify-Themen" erwähnt haben.
Diese Option ist der Authentifizierung mit einem Shopify-Theme am ähnlichsten. Der große Unterschied ist jedoch, dass Ihre Daten Ihre Daten bleiben. Ihre Systeme, Ihre Datenbank usw. sind die maßgebliche Quelle für den Benutzerdatensatz und nicht die von Shopify. Dies ist von großer Bedeutung, wenn Sie Ihren Shop für zukünftiges Wachstum absichern wollen.
Option #2: Verwenden Sie die Kundenkonten-API von Shopify
Wählen Sie diese Option, wenn Sie die "Cadillac"-Authentifizierung von Shopify über OTP (One-Time-Passwörter) wünschen.
So funktioniert dieser Authentifizierungsablauf:
Ihr Benutzer klickt auf Login
Er wird auf eine von Shopify gehostete Seite mit einem Feld (E-Mail) und einer Schaltfläche geleitet
Sie geben ihre E-Mail ein und senden sie ab
Sie erhalten ein einmaliges Passwort in Form einer 6-stelligen Zahl
Sie kommen zurück auf Ihre Website und geben diese 6-stellige Nummer ein
Wenn die Nummer korrekt ist, sind sie authentifiziert.
Dies ist ein großartiger, reibungsarmer Ablauf für Ihre Nutzer mit zwei großen Vorteilen:
Ihre Nutzer müssen sich keine weiteren Anmeldedaten merken (oder anderweitig aufbewahren). Ich möchte Ihnen nicht zu nahe treten, aber so viel Ihre Website Ihnen auch bedeutet, für Ihre Benutzer bedeutet sie praktisch nichts. Wenn Sie sie auffordern, noch einen weiteren Satz von Anmeldeinformationen zu speichern, kann das zu Reibungsverlusten in der Benutzeroberfläche und niedrigeren Konversionsraten führen.
Die Benutzer werden vollständig authentifiziert, wenn sie auf der von Shopify gehosteten Kassenseite ankommen, die alle Nicht-Shopify Plus-Shops für den Checkout verwenden. Das bedeutet noch weniger Reibung, da sie viel weniger Felder ausfüllen müssen, um ihre Transaktion abzuschließen.
Punkt 2 macht diese Authentifizierungsmethode zur einzigen Möglichkeit, die gleiche Kaufabwicklung zu erreichen, wie sie bei der Verwendung eines Shopify Liquid-Themas möglich ist. Alle anderen Authentifizierungsmethoden für einen Headless Shopify-Shop können diesen Vorteil nicht bieten.
TL;DR - Ein Rahmen für die Auswahl
Das sind eine Menge Informationen zu einem Thema, über das sich viele Leute normalerweise nicht viele Gedanken machen. Wie soll man also auf der Grundlage all dieser Informationen eine Entscheidung treffen? Hier ist eine destillierte Liste, die die obigen Informationen vereinfacht:
Sind Sie mit einer von Shopify gehosteten (und gebrandeten! Ja, Sie können das Branding auf dieser Seite zum Zeitpunkt der Erstellung dieses Artikels nicht ändern) Login-Seite? Wenn nicht, wählen Sie Option 1.
Sind Sie damit einverstanden, dass alle Benutzerdaten von Shopify verwaltet werden? Wenn nicht, gilt die gleiche Antwort wie oben - keine Shopify-Kundenkonten-API für Sie.
Möchten Sie eine traditionelle Anmeldeseite? Option 1
Wollen / müssen Sie (vielleicht aufgrund von Organisationsrichtlinien) Ihre Authentifizierung intern durchführen lassen? Option 1
Möchten Sie maximale Datenportabilität, falls Sie sich irgendwann für eine andere Plattform als Shopify entscheiden? Option 1
Möchten Sie die Verantwortung für die Authentifizierung innerhalb Ihrer Systeme vollständig vermeiden? Möglichkeit #2
Legen Sie Wert auf einen Authentifizierungsablauf mit möglichst geringen Reibungsverlusten? Möglichkeit Nr. 2
Müssen die Benutzer auf der von Shopify gehosteten Checkout-Seite vollständig authentifiziert werden? Möglichkeit #2
Es gibt eine Option #3, aber eh...
Es gibt eine Option #3 (oder #1.1?), die darin besteht, eine SaaS / gehostete Authentifizierungslösung zu implementieren, d.h. die gleiche Gesamtsituation wie Option #1, aber Sie zahlen monatlich an ein Unternehmen, um die gleiche Sache zu erreichen.
Die Überlegungen sind mehr oder weniger ähnlich wie bei Option Nr. 1, nur dass die Lösung auf einem fremden Computer gehostet wird und Sie für eine gewisse Eleganz und Einfachheit eine monatliche Gebühr zahlen. Ein Beispiel hierfür ist ein Dienst wie Clerk.
Nochmals, zwei Marshmallows.
Einpacken
Das war ein kurzer Crash-Kurs auf nicht ganz so technischer Ebene, wie Sie die Authentifizierungsoptionen für Ihre Shopify-Website in Betracht ziehen sollten. Wir hoffen, dass es hilfreich war, und natürlich können Sie sich gerne an das Team der Rendr Software Group wenden, um Ihre Authentifizierungsstrategie speziell oder Ihre Website im Allgemeinen zu besprechen.