認証基盤リニューアル時に全ユーザーをログアウトさせると、ユーザーが戻ってこない 39
ストーリー by nagazou
ログイン方法忘れてパターンとかあるしね 部門より
ログイン方法忘れてパターンとかあるしね 部門より
2009年にサービスを開始した転職サイト「ビズリーチ」は現在、190万人以上のユーザーがいるという。そんな中、認証基盤としてAuth0の導入を新たに実施しており、ブログ上にAuth0を用いて100万を超えるユーザーをログアウトさせることなく移行した方法に関しての紹介をしている。このような対処となった背景には、過去に別のBtoCプロダクトで認証基盤をリニューアルした際、全ユーザーを一度ログアウトさせたところ、多くのユーザーがそのままサービスに戻って来なかった経験があるためだという(Visional Engineering Blog)。
Auth0自体はパスワードハッシュを含むユーザーデータの移行を可能にするImport APIを提供しているが、新規登録と移行を同時に行うと問題が発生する。またビズリーチ自体のサービス停止ができないといった状況から、アクティブユーザーとその他のユーザーを分けて個別に移行する方法を採用したという。しかし、一回で完全に移行できなかったといった課題などもあったようで、そうした部分も含めた紹介などがおこなわれている。
Auth0自体はパスワードハッシュを含むユーザーデータの移行を可能にするImport APIを提供しているが、新規登録と移行を同時に行うと問題が発生する。またビズリーチ自体のサービス停止ができないといった状況から、アクティブユーザーとその他のユーザーを分けて個別に移行する方法を採用したという。しかし、一回で完全に移行できなかったといった課題などもあったようで、そうした部分も含めた紹介などがおこなわれている。
それは… (スコア:1)
認証の問題じゃなくて、そのサービスがアレだったからでは。
Re: (スコア:0)
その通りだと思う
Re: (スコア:0)
Re: (スコア:0)
べつにAuth0でログインしなおさないと退会させるとかしてなければユーザー数は変わんないのでは?
Re: (スコア:0)
ユニークユーザー数は減らないけどアクティブユーザー数は減るので、後者を重視されると痛い。
「おたくの会社、AUは少ないんですねえ?」
Re: (スコア:0)
アクティブユーザー数は非公開です! 😼
Re: (スコア:0)
あるいは主たる利用者が自分で設定したIDパスワードも覚えていないオツムだったとか。
Re: (スコア:0)
この手のサービスならパスワード覚えないでしょ。
ランダムなの設定しておいて、入力が必要になったらそのたびにリセット。
Re: (スコア:0)
あれなのはサービスではなくユーザだお思うよ。
世の中には我々の想像の及ばないていれべるなゆーざがいるのだ。
Re: (スコア:0)
むしろ、認証をリセットする前から、(例えばスマホの)アプリが裏で情報を更新しているだけで使っていなかったとか。
Re: (スコア:0)
経験的には「前と同じID/Passで入れないとそのまま見捨てる」のだと思いますよ。
昔社内システムで認証基盤を大改編する際、旧ID/Passでそのまま入れるようにして、かつ「ログイン時にプレーンパスワードが手に入る」ことを利用して、個々のユーザのログインごとに裏でこっそり新基盤に切り替えてました。
まあ全部プロプライエタリなシステムだから出来た時代ですけど。
転職サイトを常用する奴なんて居るの? (スコア:0)
転職サイトは転職するときしか使わない。転職が終わったら、転職サイトは不要になる。
仮に数年後、また転職するとしても、キャリアが変わってるから、再登録で問題ない。つまり戻ってくる必要がない。
一方で、転職サイトを長期間使ってる人って、長期間転職に失敗してることになる。そんな人存在するんだろうか?
存在したとしても、ビジネスの対象にならないとおもう。転職出来ないやつはマネタイズできないから。
Re:転職サイトを常用する奴なんて居るの? (スコア:1)
ん?よく考えたら、アクティブ数じゃなくて、1度だけログインしてセッションが切れたら戻ってこない「ログイン数」を評価対象にしているんでありますか?
Re: (スコア:0)
キリ番ゲット!!
Re: (スコア:0)
転職サイトは転職するときしか使わない。転職が終わったら、転職サイトは不要になる。
確かに国内の常識だとそうですね
国によっては職種で給料が決まっているので転職含むステップアップが普通だったりします
成功体験が海外だったりするんじゃないでしょうかね
なので国内サービスで当てはめても理由は別にあるって話かと
単にパスワード覚えて毎度打ち込んでいる人は少数ってのと惰性ログインが途切れたが原因でしょうね
まぁ間の論理はどうあれログアウトさせない移行が正解である結論は正しいかと
Re: (スコア:0)
ビズリーチは日本生まれの日本市場向けサービスなんですが、なんで唐突に海外の話を始めたんでしょう?
Re: (スコア:0)
大日本帝国の愛国心溢れる臣民が南蛮語の社名なぞつける筈がない!
って思想の持主とか
Re: (スコア:0)
転職サイトを常用するような意識高い系の話だから。
Re: (スコア:0)
転職先が見つかったもののあまり条件が良くない場合に仮面就職する人がいるかもしれない。
Re: (スコア:0)
ブラック企業という話題があるよね。普通に考えて「何でそんなとこで働いてるの?」となるやつ。
現実にそういうところで働いてる人は転職を考えるだろうけど、そこよりマシっていう基準で次を選ぶと次もブラック企業引くんじゃなかろうか。
そういう連鎖で延々と転職サイトの鴨を続ける人が一定数居るのでは?
# 特に理由なく定職に付けない人も居そうだが
Re: (スコア:0)
> 転職を考えるだろうけど
考えないからブラック企業が存在できるんですよ…。
Re: (スコア:0)
常時登録して、自分の市場価値を定期的に確認するのが良いって、
転職サイトに書いてあった。
Re: (スコア:0)
むしろいつか転職してやるんだとか言いながら転職サイト眺めてるだけの人が多いのかも。
//たんに多いか少ないかの基準がビズリーチと我々とで合ってないだけかもしれないけど
Re: (スコア:0)
転職する側でなく企業側じゃないのか、と思ったら
スカウト可能会員数は190万人以上(2023年1月末時点)のユーザーにご利用いただくサービスに成長しました。
転職する側と言っているな。
ここの会員数って盛ってると宣言してるようなものだと思えんぞ、これでは。
それよりChatGPTによるOIDCの説明が俺には意味不明すぎる・・・これで分かった気になれるのか。
まあ確かに (スコア:0)
ログアウトしてパスワード忘れちまったからもうAnonymous Cowardでいいや、ってサイトあるよな。
Re: (スコア:0)
そしてパスワード再設定の機能が死んでるのも追加で。
Re: (スコア:0)
死んでなくてもこの手の再設定操作が無理めなド素人は携帯ショップでの惨状を聞くにつれ世の中には割といると思う
Re: (スコア:0)
ログインのメリット、特にないしな。
Re:まあ確かに (スコア:1)
コメントするときIDボーナスとカルマボーナスが一応はあるけど、+2で見せられてうなるようなコメントも殆ど見なくなくなったしな。
同じ+2ならACのコメントの方が二重のモデを経てるから余程役に立つという、ID意味ねーじゃんシステム。
Re:まあ確かに (スコア:2)
私がIDで書く最大の理由は、自分が書いたコメントにリプライがあったら通知が来たり、コメント一覧でリプライ状況を確認できることかな。リプライされたのに気づかないってことを防げる。
カルマボーナスは使ってないし、駄文なんかはIDボーナスなしのスコア0で書かせてくれって思うこともあるぐらい
Re: (スコア:0)
今じゃモデレーションも崩壊しているしな。
「僕はこうあってほしい」系コメントばかりプラスされていて、査読ではなく願望、人気投票じゃないか。。
定期cookie削除 (スコア:0)
前はプライバシー対策に、定期cookie削除やってたので、
基本ログインしっぱなしはなかった
最近は面倒なので、cookie削除せずログインしっぱなしが多い
とくに、グローバル大手ネット企業は、ログイン・ログアウトや、cookie削除を繰り返すと、
botかなにかと勘違いされて、アカウント停止したりする
Re:定期cookie削除 (スコア:1)
> 前はプライバシー対策に、定期cookie削除やってたので、
> 基本ログインしっぱなしはなかった
Cookie だけに頼っていたのは平成までで、
今どきはアクセストークンをローカルストレージに入れてたりするんですよ。
今も昔もアクセストークンはCookieです (スコア:0)
知ったかぶりするの止めません?
今も昔も「アクセストークン」はCookieです。
数年前ならばアクセストークンもlocalStorageに入れるWebサービスも一応は運用できましたけど、
Safari が ITP 2.3 で、7日間、ユーザーがそのオリジンのWebサイトにアクセスしないと、すべてのlocalStorageが削除されるようになったので使い物にならなくなりました。
これは、トラッキングドメイン経由・URLにパラメータやフラグメントが付与されている場合などに該当しないすべての場合に適用されるので、本当にlocalStorageは使い物にならなくなったのです。
日本ではシェア半分近いAppleデバ
Re:今も昔もアクセストークンはCookieです (スコア:1)
Cookie は secure / HttpOnly で JS から読めない一方、OAuth2.0 では アクセストークンは Authorization ヘッダで飛ばすものなので、JS から取れないと標準の OAuth2.0 では API が叩けない。
なので、localStorage に入れておいて、データが消えたら再認証するわけです。
Re: (スコア:0)
> なので、localStorage に入れておいて、データが消えたら再認証するわけです。
JavaScriptから読み書きするcookieにはHttpOnly属性を付けなければ、localStorageに拘る必要はないかと存じます
「全」ユーザー (スコア:0)
ログアウトさせたのが「全」ユーザーだったことはこの場合要因ではないよね。
今回参考にした事例でそうしてるというだけで、例えば半分ずつログアウトさせても同じ結果だっただろうし。
結果としてログアウトしたうちの大部分を失ったから、母数が全ユーザーだったのは痛かったんだろうけど。
重箱の隅だけど、タイトルでわざわざ「全」ユーザーと入れてるのが気になったので。
セブン&アイ関係 (スコア:0)
乱立したサービスとサイト統合したとき認証登録やり直し?になって
前のサービスで使ってたアカウントパスワードが使えなくなって
結局使うの辞めた
Re: (スコア:0)
そういえば10年近く前に711でWifi使うために作ったアカウントでメール登録したはずだが、終了のお知らせメール来てなかったな