如何知道身份验证是否真的是一个要求

Question

我们有一个小型的网络应用程序，用户可以在地图上标记斑点。我们不对用户进行身份验证，因为我们不需要。标记点根本不是秘密，每个人都应该看到它们，事情应该对每个人都非常开放和透明。因为没有什么可以授权我们也不需要进行身份验证。然而，我们在cookie中保留了类似用户配置文件的内容。用户可以存储此“钱包”cookie中某些字段的默认值，这样他只需要键入一次。

这是我们的小无政府状态应用程序;）......但是如上所述：它很简单，速度快，用户喜欢这样。

可是：

• 基本上 IS 需要一些安全性，只是为了确保系统没有充满对应用意图不感兴趣的人的废话。所以从我的观点来看，这是一个非功能性的要求（我作为系统架构师的观点）
• 另外（一组）用户说出于某种原因他们想要“登录”，但实际上他们不知道为什么

我现在要做的是找出他们真正想要的东西。我认为他们的要求不是“身份验证”，而是他们认为需要登录的东西。因此，对于我们接下来的几个冲刺，我正在尝试制定一些用户故事来满足这些要求，并向用户询问他们的目标和好处。

我现在的问题是：编写这样的用户故事是否有意义？

  

作为系统XY的用户，我们希望通过登录进行用户身份验证，这样我们就可以确保只生成严重的输入。

换句话说：您如何指出需要进行身份验证以及如何进行身份验证（保持简单而不是为用户提供障碍）？ “认证”能否成为要求的目标？

关于这个问题的更多考虑因素：

• 用户不想输入密码。他们想要某种SSO
• 有些用户告诉他们，他们希望每个人都能看到斑点，但他们不希望每个人都看到它们（所以每个人都可以写，只有一些人可以阅读）。这在我们的应用程序中是一个全新的目标，但我仍然没有获得好处。
• 这也意味着，有特权用户，并且需要用户管理，管理UI和组等......

Answer 1

是的，这很有道理。

简单cookie的问题在于，如果您丢失了cookie，则无法再次成为该用户。

那就是说我认为这些故事就是你需要的（这包括你提出的额外要点）：

1. 作为登录用户，我想成为匿名用户，因此同一浏览器的其他用户不会被识别为我
2. 作为我想识别为先前用户的用户，我可以恢复工作
3. 作为用户，我想注册为（谷歌）用户，这样我就不必创建新的凭据
4. 作为登录用户，我希望我的某些地点是私密的，以便我可以标记我不希望公众知道的地方
5. [Epic]作为登录用户，我希望能够管理我的广告

正如您所看到的，这些故事中没有一个是您解决问题的方式，也不是跟踪谁是谁。它们都描述了用户可能想要解决的真实有价值的问题。