Authentication 如何知道身份验证是否真的是一项要求

我们有一个小型Web应用程序，用户可以在地图上标记点。我们不认证用户，因为我们不需要。标记点一点都不是秘密，每个人都应该看到它们，事情应该对每个人都非常公开和透明。因为没有需要授权的内容，所以我们也不需要进行身份验证。尽管如此，我们还是在cookie中保留了类似于用户配置文件的内容。用户可以在此“钱包”cookie中存储某些字段的默认值，以便只需键入一次

这是我们的小无政府应用；）。。。但正如所说的：它简单快捷，用户喜欢它

但是：

• 基本上，需要一些安全性，以确保系统不会充斥着那些对应用程序的意图不感兴趣的人的废话。因此，从我的观点来看，这是一个非功能性需求（我作为系统架构师的观点）
• 另外，（这组）用户说他们出于某种原因想要“登录”，但实际上他们不知道为什么

我现在想做的是找出他们真正想要什么。我假设他们的需求不是“身份验证”，而是他们认为需要登录的东西。因此，在接下来的几次sprint中，我将尝试制定一些用户故事来涵盖这些需求，并询问用户他们的目标和好处

我现在的问题是：这样写一个用户故事有意义吗

作为系统XY的用户，我们希望通过登录进行用户身份验证，以便确保只生成严重的输入

换言之：您将如何指出身份验证的需要以及应该如何进行身份验证（使事情保持简单，而不是为用户提供障碍）？“身份验证”能成为需求中的目标吗

关于这个问题还有一些考虑：

• 用户不想输入密码。他们想要某种类型的SSO
• 一些用户告诉我们，他们希望每个人都能标记这些点，但他们不希望每个人都看到它们（所以每个人都可以写，只有一些人可以读）。这在我们的应用程序中是一个全新的目标，但我仍然没有得到好处
• 这也意味着，存在特权用户，并且需要用户管理、管理UI和组等
是的，这是有道理的
简单cookie的问题是，如果您丢失了cookie，就无法再次成为该用户
也就是说，我认为这些故事正是你所需要的（包括你提出的额外观点）：
• 作为登录用户，我希望匿名，这样同一浏览器的另一个用户就不会被识别为我
• 作为一个用户，我想识别为以前的用户，这样我就可以继续我的工作
• 作为一个用户，我想注册为（谷歌）用户，这样我就不必创建新的凭据
• 作为一个登录用户，我希望我的一些站点是私有的，这样我就可以标记我不想让公众知道的地方
• [Epic]作为登录用户，我希望能够管理我的站点

---

正如你所看到的，这些故事都不是你解决问题的方法，也不是追踪谁是谁。它们都描述了用户可能希望解决的真实、有价值的问题。
好的，非常感谢！。我的问题是，我总是问自己，实际的实现技术中有多少应该是用户故事的一部分。例如，“谷歌用户”指的是使用身份提供者的OpenID解决方案或至少是SSO。很高兴在这里得到其他人的一些意见。JFI：我们发现，用户管理绝对不是这个项目的目标，因为这个系统分布在许多组织中，没有真正的管理中心。只是没人愿意管理它。因此，我们将使用我们的（不完美但有效的）cookie方法进一步尝试它。