Opzioni di autenticazione degli utenti per i negozi Shopify - La nostra esperienza e qualche consiglio
Paul Grieselhuber
Attenzione!
Questo post è stato originariamente scritto in inglese. Il contenuto sottostante è stato tradotto automaticamente.
Come proprietario di un negozio Shopify, molto probabilmente vorrete consentire ai vostri utenti di autenticarsi e identificarsi. L'autenticazione serve a molti scopi per voi, in quanto proprietari di un'azienda, ed è il fulcro della vostra capacità di connettervi direttamente con i vostri clienti su base individuale.
Se siete nuovi proprietari di un negozio, potreste essere sorpresi di sapere che l'autenticazione è un argomento piuttosto approfondito, con molti approcci e stili possibili.
Se non avete mai considerato l'autenticazione in modo approfondito, potreste pensare: "Oh, intendi quella cosa in cui inserisco un nome utente e una password? Sono a posto".
E forse avete ragione. Ma forse non è così.
Il nostro obiettivo con questo post è quello di aiutare i proprietari di negozi a capire quali sono le opzioni di autenticazione, l'effetto che questa scelta ha sulle loro capacità e, in ultima analisi, il suo impatto sul loro successo.
Cosa tratteremo in questo articolo
Come rapida panoramica, ecco un elenco delle cose che tratteremo e non tratteremo in questo articolo sull'autenticazione:
Esperienza dell'utente in relazione all'autenticazione - Coperto ✅
Proposta di valore per il proprietario dell'azienda - Coperto ✅
Sicurezza - Non coperta, almeno non in modo approfondito ❌
Perché non approfondire il tema della sicurezza? Sebbene la sicurezza sia un tema importante che prendiamo molto sul serio, si tratta di un argomento enorme che merita di essere considerato separatamente.
Tolto questo, andiamo subito al punto: qual è la migliore opzione di autenticazione per il vostro e negozio di e-commerce?
La risposta, ovviamente, è che dipende.
Considerazioni per i proprietari di negozi Shopify quando scelgono una strategia di autenticazione
Il modo in cui è costruito il vostro negozio avrà un grande impatto sulle opzioni che avete a disposizione per quanto riguarda l'autenticazione. Le due opzioni principali sono: Tema Shopify o negozio Headless.
Autenticazione per i negozi che utilizzano temi Shopify
Se si utilizza un tema di Shopify, sia esso un tema standard da un negozio di temi di Shopify o un tema personalizzato da uno sviluppatore, l'autenticazione è molto semplice.
In questo caso, il proprietario del negozio non deve pensare molto all'implementazione. In genere, un tema di Shopify gestisce l'autenticazione tramite un semplice nome utente e una password: un metodo collaudato... più o meno.
L'autenticazione basata su credenziali (cioè nome utente e password) sta diventando ogni giorno più obsoleta a causa della sua capacità di mantenere la sicurezza degli account non così buona come un tempo. Ciò significa che, con il passare del tempo, gli utenti si stanno abituando a metodi di autenticazione più sicuri e finiranno per vedere l'autenticazione basata su credenziali come strana/non sicura. Quando questa percezione raggiungerà un punto di svolta, sarà più o meno ora che tutti abbandonino le credenziali nei loro negozi di e-commerce.
Detto questo, a metà del 2024 probabilmente andrà ancora bene per i negozi molto piccoli che si stanno avvicinando all'e-commerce.
C'è però un'avvertenza importante, che affronteremo più avanti.
Autenticazione per i negozi Shopify senza testa
È molto probabile che, con la crescita del vostro negozio, i temi di Shopify - cioè i temi costruiti sul linguaggio di template Liquid di Shopify e serviti direttamente da Shopify come "frontend" del vostro negozio (mentre l'amministrazione di Shopify è il "backend") - diventino obsoleti.
E quando lo farà, vi avvierete sulla strada di quello che è noto come un negozio "Headless". In un negozio Headless, l'amministratore di Shopify continuerà a fungere da "backend" e da "motore" del vostro negozio (cioè l'elaborazione dei pagamenti, la memorizzazione dei prodotti, dei clienti, degli ordini, ecc.), mentre il "frontend" (cioè le pagine dei prodotti, i pulsanti per l'aggiunta al carrello, il carrello stesso) sarà costruito su un'altra tecnologia che consente esperienze di acquisto più sofisticate, moderne e potenti.
I negozi senza testa sono un altro argomento enorme, ma per quanto riguarda l'autenticazione, l'impatto è che il semplice modulo di login con nome utente e password non è più disponibile. Almeno lo stesso modulo: è ancora possibile utilizzare l'autenticazione basata sulle credenziali, ma lo sviluppatore dovrà implementarla per voi.
Prima di decidere di reimplementare semplicemente quello che avevate in precedenza, cogliete l'occasione per riflettere sulle opzioni che vi si presentano. Discutiamo la visione a 30.000 metri di distanza dell'autenticazione per i negozi Headless Shopify.
Anche in questo caso le opzioni si dividono in due categorie:
Implementare un pacchetto di autenticazione di riferimento che si occupi delle parti più difficili per voi, oppure
Utilizzare la nuova API per l'account cliente di Shopify.
Il termine "pacchetto di autenticazione di riferimento" viene usato in modo un po' generico, ma si riferisce a pacchetti come Next-Auth (ora Auth.js) e simili. Attendiamo i commenti su questo argomento.
Dipende dalla definizione di "giusto", giusto?
Ci possono essere molte ragioni per cui l'uno o l'altro può essere giusto per il vostro progetto, e anche molte definizioni di "giusto", stranamente.
Possibili definizioni di "giusto" in cui ci siamo imbattuti:
Lo stakeholder principale non si preoccupa delle implicazioni per la sicurezza della sua preferenza UX / UI, e semplicemente "vuole che sia così" - in questo caso, dire alle persone in un modulo di login se un nome utente esiste o meno, è ovviamente un enorme no-no.
Utilizzare password una tantum, ovviamente
Non usare le One Time Password, ovviamente
Probabilmente avrete notato che per ogni stakeholder la prospettiva su come dovrebbe funzionare l'autenticazione è - avete capito bene: ovvia.
Perché una soluzione o un'altra potrebbe essere giusta per il vostro progetto?
Le persone hanno opinioni forti su come vogliono che l'autenticazione funzioni sul loro sito o sulla loro applicazione, per una serie di motivi.
Per alcuni la politica di sicurezza moderna è la priorità assoluta. A volte la sensibilità alla sofisticazione dell'utente è fondamentale. Altre volte vince il basso attrito. Per altri è "moduli di login perché moduli di login".
Probabilmente avete una vostra preferenza personale e una base per tale preferenza. Documentarlo può essere un buon punto di partenza.
Nella prossima sezione vi forniremo gli strumenti per mettere in discussione questo presupposto.
Considerazioni importanti al di là delle preferenze personali
Partendo dal presupposto che abbiamo trovato una definizione di "giusto", parliamo di come selezionare la giusta strategia di autenticazione per il vostro negozio Headless Shopify.
Altre considerazioni sulla scelta della strategia di autenticazione sono:
Shopify sarà sempre la vostra piattaforma di e-commerce preferita? Ne siete sicuri?
Avrete altre integrazioni di terze parti che vi richiederanno di avere il record autorevole dell'"account utente" sotto il vostro controllo e sui vostri sistemi?
La struttura di governance della vostra organizzazione lo richiede?
Quanto è fattibile, in base al livello di sofisticazione del vostro team di sviluppo, migrare da un sistema all'altro con un impatto minimo sugli utenti in un momento futuro?
Quanto siete in grado (o il vostro team di sviluppo) di affrontare e rispettare le normative come il GDPR in un'implementazione personalizzata dei pacchetti di riferimento sopra citati?
Questi sono sicuramente molti, molti altri, ma questi sono quelli che in genere si presentano per primi e più frequentemente.
E non solo, queste considerazioni sono ben lungi dall'essere sufficienti. Ad esempio, che dire della UX?
L'UX in relazione all'autenticazione va ben oltre il "come fa l'utente ad accedere?". Per esempio:
Avete bisogno di fare retargeting marketing? Ciò che siete in grado di ottenere con la vostra strategia selezionata può avere un impatto su ciò che siete in grado di realizzare con questi sforzi di marketing.
Quanto durano le sessioni? Avete bisogno di controllarle?
Siete disposti a mettere qualcun altro (ad esempio Shopify) al posto di guida? Non dovreste farlo, a meno che non abbiate testato a fondo un sito che utilizza l'API Account cliente di Shopify. Maggiori informazioni di seguito.
E per quanto riguarda l'esperienza di checkout? Gli utenti devono effettuare il login durante il checkout? O è sufficiente che il loro indirizzo e-mail sia popolato quando arrivano alla pagina di checkout?
Avete in programma abbonamenti o iscrizioni sul vostro sito? Qui l'impatto è enorme.
Il processo di selezione di una strategia di autenticazione appropriata per un'azienda in crescita è davvero ricco di sfumature. Questo elenco di considerazioni è ovviamente lungo e forse scoraggiante.
Tuttavia, se non si affrontano queste considerazioni durante le fasi di pianificazione e di portata del prodotto, è probabile che il problema si aggravi in futuro.
Questa è sicuramente una situazione del tipo "due marshmallow".
Va bene, basta chiacchiere. Ecco cosa dovete sapere.
Opzione #1: implementare un pacchetto di autenticazione di riferimento
Scegliere questa opzione se si vuole uno dei seguenti flussi di autenticazione:
Un modulo di accesso con nome utente e password
Per utilizzare un servizio Single Sign-on come Google, Facebook, ecc.
Si desidera consentire i "link magici", ossia che l'utente inserisca la propria e-mail, che gli venga inviato un link nella casella di posta elettronica, che lo clicchi e che effettui l'accesso.
Questo è anche il posto migliore per parlare dell'avvertenza di cui abbiamo parlato nella sezione "Autenticazione per i negozi che utilizzano temi Shopify".
Questa opzione è la più simile al funzionamento dell'autenticazione con un tema Shopify. Tuttavia, si distingue per il fatto che i vostri dati rimangono i vostri dati. I vostri sistemi, il vostro database, ecc. sono la fonte autorevole del record dell'utente e non di Shopify. Questo è un aspetto importante quando si tratta di proteggere il proprio negozio in vista di una crescita futura.
Opzione #2: Utilizzare l'API degli account cliente di Shopify
Scegliete questa opzione se volete l'esperienza di autenticazione "Cadillac" di Shopify tramite OTP (one time password).
Ecco come funziona questo flusso di autenticazione:
L'utente fa clic su login
Viene portato su una pagina ospitata da Shopify con un campo (email) e un pulsante
Inseriscono l'e-mail e inviano il messaggio
Viene inviata una One Time Password sotto forma di numero a 6 cifre.
Tornano sul vostro sito e inseriscono questo numero a 6 cifre
Se il numero è corretto, vengono autenticati
Si tratta di un flusso fantastico e a basso attrito per i vostri utenti, con due GRANDI vantaggi:
Gli utenti non devono ricordare (o comunque tenere traccia) di un'altra serie di credenziali. Non voglio offendervi, ma per quanto il vostro sito sia importante per voi, non significa praticamente nulla per i vostri utenti. Chiedere loro di memorizzare un'altra serie di credenziali può aumentare l'attrito UX e ridurre i tassi di conversione.
Gli utenti saranno completamente autenticati quando arriveranno alla pagina di checkout ospitata da Shopify che tutti i negozi non-Shopify Plus utilizzano per il checkout. Ciò significa ancora meno attrito, in quanto hanno molti meno campi da completare per finalizzare la transazione.
Il punto #2 rende questo metodo di autenticazione l'unico modo per ottenere la stessa esperienza di checkout che si avrebbe utilizzando un tema Shopify Liquid. Tutti gli altri metodi di autenticazione per un negozio Headless Shopify non possono fornire questo vantaggio.
TL;DR - Un quadro di riferimento su come scegliere
Queste sono molte informazioni su un argomento a cui molte persone non danno molta importanza. Come si fa a scegliere in base a tutte queste informazioni? Ecco un elenco semplificato delle informazioni di cui sopra:
Vi va bene un sito ospitato da Shopify (e con il suo marchio! Sì, non è possibile modificare il marchio su questa pagina al momento della stesura del presente documento)? In caso contrario, scegliete l'opzione n. 1.
Siete disposti a dipendere completamente da Shopify per tutti i dati degli utenti? In caso contrario, la risposta è la stessa di cui sopra: niente API per gli account clienti di Shopify.
Volete una pagina di login tradizionale? Opzione #1
Volete/dovete (forse per la governance dell'organizzazione) che l'autenticazione sia gestita internamente? Opzione 1
Desiderate la massima portabilità dei dati nel caso in cui decidiate di riqualificare Shopify a un certo punto? Opzione #1
Volete evitare completamente la responsabilità dell'autenticazione all'interno dei vostri sistemi? Opzione #2
Volete dare la priorità a un flusso di autenticazione con il minor attrito possibile? Opzione 2
Gli utenti devono essere completamente autenticati sulla pagina di checkout ospitata da Shopify? Opzione #2
Esiste un'opzione #3, ma...
Esiste un'opzione #3 (o #1.1?) che consiste nell'implementare una soluzione di autenticazione SaaS/ospitata, ovvero la stessa situazione generale dell'opzione #1, ma si paga mensilmente a un'azienda per realizzare la stessa cosa.
L'insieme di considerazioni è più o meno simile all'opzione 1, ma è solo ospitato sul computer di qualcun altro e si paga un canone mensile per una certa eleganza e semplicità. Un esempio di questo tipo è un servizio come Clerk.
Anche in questo caso, due marshmallow.
Avvolgimento
Questo è un rapido corso accelerato a livello non troppo tecnico su come dovreste considerare le opzioni di autenticazione per il vostro sito Shopify. Ci auguriamo che sia stato utile e, naturalmente, non esitate a contattare il team di Rendr Software Group per discutere della vostra strategia di autenticazione in particolare o del vostro sito in generale.
