謝謝Wordpress.com,Wordpress.com,WordCamp,即是邀請我們來我是阿威,我今天就開始過首先我沒有很快的介紹我我就是Oscar的一個presale商即是會負責technical那邊的多一點的貨面的工作我們Oscar可能大家都聽過了即是一分鐘介紹就是我們一間香港的local的developer我們現在即是8月6日到今時今日都已經是14、15年了我們現在也有70個同事在香港、英國、台灣我們主要做的工作就是很多custom的貨品但我們都是自己的產品所以今天我都希望請這個機會就跟大家介紹一下我們其中一個產品就是Oscar可以這條客人到Wordpress那裡做一個offendication的你都見到有幾隻貓其實都是我們公司養的貓我們公司隔在荔枝角那邊的希望有機會的話大家有機會上來我們Oscar可以玩玩貓再跟我們聊聊天好,事不宜遲,開始正題了首先Wordpress就剛才主持都說了其實我們現在Wordpress現有的login可能大家如果有用過簡單的email password但其實當大家的網站不是只做一個blog那麼簡單因為我相信今天都會很多人可能說到Wordpress它絕對不是只可以做網站可以做到很多很多其他大型的網站我這裡有兩個例子第一就是由左手邊那個ecom的一個網站的例子大家可能如果ecom的網站是涉及到很多交易可能人們買東西的資料等等可能我們對於security的要求可能不會只滿足於最簡單的email password另一邊就是一個members password的網站這個是我剛剛CAP過來的就是New Yorker我看回很多大型的網站這個New Yorker就是那個集資的網站都是用Wordpress的大家可以用一個那麼大的網站可能講成千上萬的user我們又是不是覺得Wordpress的user management可以用Wordpress來做個user authentication呢之後就看到我們現在default WordPress的user management如果大家有用過的話都會見到其實它有一個簡單的介面可以給你manage到一些有見到不同的user看回一些profile用email password to login但正如剛才說當大家是現在很多的現實大家想到好自然要有的好的東西例如我要social sign-on我當然要拿Google拿Facebook那我會令人容易的按摩那你就要裝個CAP in又或者我覺得 password OK但是我想要有2FA因為我做一些賣東西的過程我是覺得它需要有2stack只是 password不夠那我想加2stack那我又要做到CAP in之後又或者可能我password OK但是如果我們一些公司要用可能我又需要有一些password policy的就是說原來它每隔多久要改一次password或者password minimum的長度等等等等這些加加下其實如果大家想用wordpress去做完這麼多的feature那麼多是security的東西那可能現在就會裝了很多不同的CAP in的了那這個是一個方法來的是會有的可能但是今天我順帶來介紹的是一個另外一個方法那這裡就是講的是indegrae我們一個叫做offear又或者其實offear我都沒有太過賣廣告都是一個例子而已其實現在都有很多不同的identity provider它都是可以是support這一種indegrae的方法的那我就用了我們公司的差不多offear做例子那這個offear其實本身它已經可以support到很多不同的大家覺得good必須要有的security的功能例如剛才說的single sign-on就是除了social的sign-on之後可能它是用一個accountsign in一個網站pricing我有其他app那可能我都要需要它再打密碼password就是很重要因為很多時候大家看到security會出現問題就是一方面就是他們可能的人都會重用密碼或者因為他們要不同的網站機械很麻煩或者我們剛才都可能有些自打罪孢或者我們設置了一些很複雜的password rules難怪你可能三個月半年要改一次或者第二個密碼最少要有數字、英文、字大寫、細寫符號究竟搞到這麼多複雜的東西User可能就會用一些很簡單的複雜密碼所以password rules的in就可以令到它不需要密碼都可以很保持密碼的in可以展示給大家看另外還有modify factor我剛才說了還有zero trust的個人的概念都想介紹給大家看就是當我們用了這樣的service之後其實我們的workpress就不再需要去儲存了 user的authentication的密碼那些東西儲存用的規則它當然也是挺保持密碼的也有定期的befix、security fix等等但是zero trust的概念就是我會將整個user authentication這個部分就在我的system那裡抽出來我告訴 user它不需要擔心我做這個workpress自己的host有一個網站究竟有沒有security issue有沒有apply to the latestbefix或者service沒有被人貼到不需要擔心的了因為我已經將我的off的功能就判了給offer或者其他一些service就可以做到就算我的system真的有什麼三場兩端有什麼事都不會影響到我不需要跟大家說喂我們system被人貼了你要改掉密碼等等好說這麼多東西我其實就直接今天會比較輕鬆一點想展示一點我給大家看多一點的那就是等等大家看到這裡就是一個很簡單的workpress的網站是磨起出來的當我們按個lock in的時候這樣就可以打算平時lock in的樣子這裡我就加了一個就是用connect to這個off按完這個之後它就會叫我lock in這裡我想給大家看就是我用一個password的lock in就是我打了電話下去之後它就叫我打個whatsapp號碼我其實在它背後就會send一個whatsapp的off code給我等等41178它就send了whatsapp給我我發現whatsapp是什麼樣子的因為大家看不到我都展示給大家看其實就是簡單一個whatsapp的message大家看到這裡就是它有個code給我就好像sms那樣的OK之後就進去了我現在是一個lock in的概念這裡有什麼好處呢變成我們是users不需要繼續密碼第二就是大家想想我們用whatsapplock in我用了它號碼的電話號碼在大家將來做一些其他marketing一些integration的時候就會很方便因為你已經有了whatsapp的電話還有剛才我也展示給大家看其實我是send了whatsapp的message給客人他們都收到一個otp就是說如果大家有用whatsapp的話我們其實如果和whatsapp想sendmarketing想sendmessage給客人其實是要計算的因為他可能不續一個section這樣就十幾個小時內就可以一次免費那你用剛才那個otp的message其實已經和他開始了一個conversation那你們可以很容易做其他integration就follow你之後的一些further的message就是去拼一下他說你做了什麼名字或者一些優惠等等給他那這個就是我用一個whatsapplock in的示範那之後就想show給大家看你那究竟為什麼可以做到這個integration呢那就回到剛才那裡很簡單的那這裡就是一個webpress的adminportal那我這裡其實就裝了就是需要一個plugin因為我們這個integration就是用webpress去用offgear或者其他off的profiler這個standard我們叫做OIDC就open id connect那市面上的很多plugin的我就先拿了這個來做例子那我裝完這個plugin之後我要set的東西那其實第一就是他通常可以給你選剛才大家看到我是在login制那裡我就有個login page我就制到他按那又或者你不想被他按我已經想他直接就要用那個offgear也可以那之後就有其他setup的那這些setup就可以在offgear那裡那其實這個都很通用於其他off的solution那就會見到他會給一堆一些kind id一些secret一些end points那就照回他要求你的東西照cp and paste下去那就搞定了這樣那就會搞定了就是說connect了那之後呢另一樣的可能大家會自問導演那個user就是在哪裡就是說我我webpress導演有沒有個user還是offgear有個user呢那這裡大家可以看回其實呢當我們connect了offgear之後用offgearlogin去這個webpress的話其實呢他自動就會在那個webpress那裡create上相應的user這個都是i.dc對login比較特別的地方這個等陣可以我再講多一點那但是呢去到那裡之前呢那我想說一說已經剛才我只展示了用whatsapplogin那其實現在offentication有很多方法所以呢都希望在這個機會呢就是我給大家看其實有什麼option可以用那首先呢有幾樣東西的那最基本呢就是email password就不用講了那之後呢我們也可以用mobilemobile呢就剛才舉例我可以用whatsappmobile或者用smsmobile那大家想想mobile呢有什麼好處呢用mobile除了我可以拿到那個user的電話之外這裡大家可以看到下面呢我們可以有個country code的cruiser選擇那這個用處呢就是我可以透過這個方法來確保我的user呢原來我只是想support香港的或者我想幫某個地區的那我就可以透過它當然啦所有東西呢都絕對沒得百分百限制的只不過我們在我們覺得UX可接受之內即是你要搞到這個user太麻煩都不好意思啦我們在UX可接受的範圍之內呢我們例如我們用這個電話的filter那我們就可以fix說原來他如果不support那個號碼country code呢我就不給他login或者不給他這個account那就要做這個filter的account那之後呢另外我們也可以有那些叫做account logout policy這個也是一個我剛才提過的security很重要概念來的那我們如果你在workpress那裡他們user email password你就想他即是有些relimit的即是說如果他亂進有人亂撞密碼太多次要幫他accountlock his account那這個workpress當然就可能要找些park in去搞那在這個off的solution裡面呢通常已經會直接就會有一些logout policy可以給大家set那他在這裡就說你失敗了多少次就會停你多久那或者是又或者emailpasswordotp這些都可以做到類似的方法的那之後呢剛才說的email password那些就是不需要特別多說那當然基本的password policy這裡都是會有的我們可以set回它的minimum link或者其他要求以時改密碼等等那之後呢那這個social sign-on那也都可以一次過就在我們這個platform那裡就博曉所有需要connect的即是那些social sign-on的東西即是例如Apple,Google,Basebook等等那另外呢showman給大家看就是2FA2FA是一個很重要的功能因為當你的user lock in的時候你是想它有多重的認證那我們現在大家實際上是常用的即是說用那些叫做sms入了又或者呢可以用我們叫做TOPT即是大家有時候會裝好個offend indicator就說你要在手機裡再開個app即是有個號碼再打進去那這裡呢就看大家的設計是怎樣因為呢如果大家對象可能有些比較non-tech的人想那個user flow是再順一點其實這個就未必派過user friendly的因為它還要再裝好app所以通常我們建議如果你說要有2FA的話可能你是password再加剛才我講的那些smsr或者whatsapp的即是LTP都可以的那之後呢還有另外一個都很重要的就是那我們當我們做一個product出來我們當然想我們有一個consistent UI experience給客人所以通常我們我們的solution很多solution其實都一定會要support到一些customer UI的UI customization但見到呢我們又可以set回所有的style顏色等等就可以配合你原本的那個website那個樣子令到user會有consistent experience那另外呢另一個我覺得都很重要的就是不過我們呢即是這個app我們是一直發展可能我們會下了很多tracking或者可能我們user越來越多不同的功能又或者我們integre其他app其實我們都需要存在很多user的資料的那如果在用回傳統正是用完那個workpress來做這個management那就會很局限那個workpress的user裡面給你存在program那在我們這些平台呢那我們也可以很靈活這樣是可以set到對user可以有一些我們default就有一堆的actual view可以set那之後呢我們也可以set叫做custom interview那我們就可以自己定義它是actual view的名那之後呢就可以選擇那些什麼類型的東西那我們就可以加上那我們就可以有對user我們可以存在這個東西可能存在一些剛才說的幫同tracking有關的資料又或者可能是其他server的solution它的robot等等那些privilege等等那我們存在這些那我們就可以在workpress那裏拿回這些資料又或者從其他app那裏去share這些資料都可以的那另外呢剛才我即是回到我一開始說很重要的security那一件事那當我們呢即是假設如果我們的網站比較大一點的時候是很多人lock in那我們很重要的一個功能就是我們可能有些custom service因為可能客人會找我們說我lock in不到我的account有問題等等那如果我們還是靠這個workpress最簡單的user management那可能就不夠了那所以我們的preform呢也都會有一個比較齊全的user management的地方那這裏就見到了我就找到我自己的account那我們呢那些csr或者我們其他admin的同時就可以呢在這個介面裏面就看到 user的設定remove useranomalice user這個anomalice user都很重要的一個功能就因為呢現在我們很多時候的app如果我們是大家知道想假的話可能就需要有user accountadition的功能那但你user accountadition的話呢你有可能不想即是dilize所有的一些資料可能有其他的情況用度那我們就可以用anomalice user把他的個人資料就全部刪除了剩下一個即是小小的account留下一個ranking在這裏都可以亦都可以最盡可以remove the user那但剛才說的security那裏呢那就是亦都是我們這些preform很好用的一個地方就是我們可以在這裏呢看完user的一些session我們可以隨時去terminate它的session去控制到即是那個user他說我好像被人欺負了我是不是被人拿去了其他地方我們support它的時候呢我們都可以在這些preform即是在這個bind portal裏面就看得一清一楚是正在發生什麼事的那亦都可以一次過terminate曬水所有的session那就這裏我估呢就簡單的介紹呢就是這裏那就回到今天那個那個top的那裏先好那覺得這麼多如何indigrate以及show case有些功能之後呢那我也要說一些一些pitch的東西就是說為何這麼值得用這些preformenable password list或者是WhatsApp的OTP的login呢最重要呢我們都在看是如何可以令到user容易的去sign up和version即是說如何可以將它登記成我們user的阻力搞到最低最低呢那我們就可以需要那第一當然是不需要搞密碼那些東西所以呢我們就可以用到剛才我講的那些功能例如我們是可以用email加match link又或者剛才我show給大家看的WhatsApp電話號碼dobus app等等那有這些東西之後呢那我們就不需要擔心它是會要突然間又要開到密碼又要開到dobus那又令到它sign up的過程是會最順暢的那有了這些off的surface之後呢那其實是都可以highlight幾大的功能給大家看第一就是我們剛才那個preform呢我們就是那個user and import都給大家看到的就是我們可以看到很多這些user的admin的情況我們剛才沒機會給大家看的可能是Audio Lock我們可能可以set the rating等等另外呢如果當我們的系統去到比較複雜一點我們是特別是說我們off的要求可能就說咦我們要2FA我們是要有其他的限制那我們又可以做到又或者呢當我們是去到一個位置咦當它做某些步驟例如它改制payment method又或者呢它可能是要加某些東西去改password等等做一些predictable transition呢我們這些preform呢也都可以給大家做一個reoff就是說當它做某些東西的時候呢它要再offend它一次那我們make sure呢就是即是security更加高那最後呢就是當我們呢是有些preform我們已經是藏了user的sign up我們有的admin正常資料呢那都有方面大家integrate其他的cdp或者一些marketing的地方那因為呢剛才我也介紹了我們tag的background所以我也想很快跟大家show show其實那technical你背後是發生了什麼事呢那其實呢這裡的show給大家看就是說當我們user呢我們平時我們就這樣去lock in wordpress的時候我們就直接lock in wordpress去建立了一個lock in password它就說知道我們是某個user那當我們用剛才off gear的時候其實背後發生了什麼事呢其實背後發生了兩個offendication就是說我們user去到wordpress就說我要lock in它就說那你去off gear那之後呢我就會去大家看到呢我就off gear我就打我的電話號碼之後打我WhatsAppOtt之後off gear就說這個useroffendicated了那我和off gear之間就offed了之後我呢就會再off gear就會再通知到wordpress就說這個user我offendicated了之後呢其實wordpress會和我都是一個lock in作為關聯都是會offendicated的這裡其實是回到剛才我講的有一個特別的地方就是當我們用這些方法的時候其實有兩個user account第一就是我和off gear之間都會有一個user account第二呢就會自動地我和wordpress之間都會有一個user account那這個就是會就是純粹lock就是會有些叫做這個example如果你想升的話那可能就會有多一點的integration還有呢當我們stop了這個user就是說例如呢我們是和off gear我們disable了這個user就是說它已經我的account有問題好像被人聽了我要disable它那可能呢在wordpress那裡我們就要做多一點的功夫才可以令到user都自動去lock out因為呢它是兩個section當我user如果沒有自己在wordpresslock outlock in那可能呢都是還是maintain了user和wordpress之間off做的關係的那另外就是今天時間有限那我就本來就想show my我們passkey的功能我就按有少少的情況就按不住但我都很快就告訴你我們off gear其實現在都已經support passkey那passkey是一件什麼呢其實呢意思就是可以將我們那個一個token類似就存在我們的電話或者手機或者電腦那裡那不再需要就是它再用密碼又或者是剛才講的OTPR等等那意思就是pile in了一個physical device做一個offendication那好處就是當我們enable了這個東西那個user就剛才講的那些打OTPR打password等等那些都全部都再需要做的了那這張圖其實是簡單show了那個就是passkey的概念就有些因為呢這個mrg我和同事share的時候可能大家對一些例如聽到的off有很多keyword都可能不知道是什麼來的很亂那所以在這張圖都和人很快講回概念而已大家可能大家常聽到的fiddle就其實就因為有些人可能說fiddle standard那其實就錯了就沒有這件事的fiddle其實就是一個一個組織來的它就是定的一些關於offendication的standard那之後呢我們剛才講的offkeysorry passkey又或者我們平時用很多bio mention等等的我們就有叫做fiddle 2的standard那之後我們offkey其實就會用一個叫做weboff的standard就可以做到同個手機的bio mention又或者我們的passkey或者大家如果再複雜一點用一些USB key等等那些都會用這個weboff的等等的standard就可以做到一個connection的那我今天呢這個sharing其實就那麼多那就多謝大家那就看看大家有沒有什麼問題那還有另外呢我這裡也有個offkey人的link那還有我們offkey人其實都是over source的那所以如果有興趣也可以去我們的github那裡看一下那你如果喜歡可以自己host那如果不是的話其實在我們offkey人那裡會有一些developer的free tier其實可能那些千幾二千個人其實都可以用那我可以歡迎大家就去登記試一下那就可以進行回到自己的web website多謝