• Roll
• Låt användaren skapa en signatur om hon inte vill visa sitt riktiga namn

Kändhet

Webben är speciell, jämfört med de flesta traditionella datorsystem, på det sättet att där finns en löpande skala för hur känd användaren är. För ett traditionellt system brukar användaren vara antingen okänd eller så har hon loggat in sig och det vet vem hon är. Webbens normaltillstånd är däremot att ta hand om helt okända användare, och även för dem som den vet mer om är det inte säkert att den vet vilka de är utanför webbens värld.

Man kan tala om fyra grader av kändhet. En användare kan vara okänd, gäst, inloggad eller identifierad. Ju bättre en webbplats känner igen henne desto större möjligheter finns att styra behörigheterna.

Känn igen användaren lagom mycket

Varje steg på kändhetstrappan har ett pris, för både webbplats och användare. Det blir krångligare att administrera och krångligare att använda. Det gäller därför att hitta en bra balans mellan nyttan av ytterligare kändhet och det besvär det medför.

Okänd

Om en okänd användare vet webbplatsen absolut ingenting annat än att hon tittar på en sida. Den minns inte om hon varit inne på någon annan sida tidigare och den känner inte igen henne när hon går vidare till en ny sida.

Eftersom det inte finns något sätt att skilja en okänd användare från en annan, har alla användare i denna grupp samma roll .

Observera att en okänd användare mycket väl kan vara någon som webbplatsen egentligen vet mycket om och som har omfattande behörigheter. Den har bara inte känt igen henne ännu.

Gäst

Att låta användare vara okända är numera sällsynt. Ofta skapas omedelbart en session (se sid 309 ) och hon blir istället en gäst. Om inte annat så görs det för statistikens skull.

En teknisk förutsättning för att göra en användare till gäst är hos många system att hon kan (och vill) ta emot en kaka.

En gäst känner webbplatsen bara igen så länge sessionen varar. Nästa gång hon kommer tillbaka kan den inte skilja henne från en helt ny användare.

Ibland används ordet besökare istället för gäst. Även anonym förekommer, men ordet kan förvirra eftersom det är möjligt att känna användaren bättre (se inloggad, nedan) utan att för den skull känna till hennes namn.

Det går att skilja en gäst från en annan, så i princip kan de få olika roller, men i praktiken vet webbplatsen alldeles för litet om dem för att det skall vara meningsfullt att göra det.

Att användaren är en anonym gäst är inte något hinder för att skapa avancerade webbapplikationer.

Många e-handelsplatser behöver inte känna sina användare mer än så. Visserligen måste användaren uppge namn, kreditkortsnummer och liknande uppgifter som en del av sin beställning, men dessa uppgifter kan vara bortglömda nästa gång användaren återvänder.

Inloggad (medlem, autentiserad)

Nästa steg på kändhetstrappan är när webbplatsen känner igen användaren från gång till gång – eller för att vara mer teknisk: från session till session.

För att detta skall vara möjligt måste webbplatsen ha ett bestående minne av användaren – eller, för att bli teknisk igen: ett användarkonto . När användaren kommer måste rätt användare och rätt minne kopplas ihop. Denna sammankoppling kallas autentisering eller inloggning.

Att en användare är inloggad behöver inte betyda att webbplatsen vet något om vem hon i själva verket är. Om det finns en koppling till en verklig person sägs användaren vara identifierad. Mer om det i nästa avsnitt.

Får namn av rollen

Inloggad eller synonymen autentiserad är inte är de enda ord som används för att beskriva denna grad av kändhet. Ofta använder man istället en roll användaren har på webbplatsen (och som blir möjlig i och med inloggningen), till exempel medlem, användare eller kund. Identifierad används också, men jag föredrar att spara det till situationer där man verkligen vet vem användaren är (se nedan).

Ytterligare en källa till förvirring är att autentisering även används av sessionen för att hålla reda på användaren från sida till sida. I det fallet märker hon dock aldrig av den.

Roller

Olika inloggade användare kan ha olika roller. Men eftersom man inte vet vem en inloggad användare är i verkligheten (vet man det så är hon identifierad, se nedan) så finns det sällan anledning att göra skillnad mellan dem.

Däremot kan hon ha omfattande behörigheter för material som hon skapat själv. Till exempel rätten att ändra eller ta bort en sida.

Medvetet och omedvetet inloggad

Det finns två radikalt skilda typer av inloggning.

En medveten inloggad har själv ansökt om att få sitt användarkonto. Alternativt kan hon ha fått det i samband med att hon handlar i en webbutik eller fått det tilldelat när hon börjat på ett nytt jobb. Hon vet om att hon har kontot.

En webbplats kan också i tysthet skapa ett användarkonto för någon, och sedan följa hennes beteende från besök till besök för att så småningom bygga upp en bild av henne, till exempel i syfte att visa annonser anpassade till hennes intressen. I första hand är det surfmönstret som kartläggs, men även vad användaren fyller i i formulär och vad hon handlar kan sparas. Användaren själv behöver inte vara medveten något av detta, utan loggas in med automatiska metoder.

Permanent kaka

Kakor behöver inte försvinna för att en session avslutas, utan kan vara permanenta och ligga kvar på datorn. Det gör att webbplatsen kan känna igen användaren nästa gång hon kommer tillbaka, utan att hon för den skull har ett användarkonto. Det blir då ett slags mellanting mellan att vara gäst och inloggad. Information om henne kan lagras, men den finns inte på webbservern.

Eftersom kakan är knuten till datorn ¹³, inte till användaren, ser alla som använder samma dator på till exempel ett internetcafé likadana ut, och inget finns tillgängligt om användaren skulle gå in på webbplatsen från en annan dator. Därför används permanenta kakor för att spara sådant som inte är säkerhetskänsligt – ofta för inställningar av gränssnittet, till exempel att hon vill se texten med ett större typsnitt.

Se även Berätta hur webbplatsen använder permanenta kakor , sid 326 , om vad som gäller för den.

Identifierad

När webbplatsen vet vem den inloggade användaren är i den verkliga ¹⁴ världen, är hon identifierad.

En förutsättning för identifiering är att användaren är inloggad. Men dessutom krävs att användarkontot har en koppling till en verklig person.

Den uppmärksamme läsaren ser att identifierad inte riktigt är en logisk fortsättning på serien okänd – gäst - inloggad. Rent tekniskt är det ingen skillnad mellan att vara inloggad och att vara identifierad. Ändå är det värt att skilja ut dem, eftersom kopplingen till den verkliga personen ofta har en avgörande betydelse för vad användaren tillåts göra.

Begreppsförvirring

Även kring detta begrepp är förvirringen stor. Identifierad används ofta mindre strängt, ungefär i den betydelse jag använder inloggad. Även autentiserad förekommer som synonym.

Användaridentitet och verklig identitet

För att minska risken för missförstånd är det bra att skilja på användaridentitet – den identitet som användaren har på webbplatsen och som kommer till uttryck i användarkonto och användarnamn – och verklig identitet – den identitet som människan har. För att användaren skall vara identifierad måste användaridentitet och verklig identitet kopplas samman.

Identifiering på dator sker i likhet med identifiering i det vanliga livet ofta i två steg.

I det vanliga livet måste man skaffa ett id-kort. I den processen ingår ett antal krav som skall säkerställa att man inte försöker lura till sig någon annans identitet. Den processen motsvaras i datorns värld av hur ett användarkonto skapas, vilket behandlas på sid 320 .

När man sedan behöver bevisa sin identitet – när man legitimerar sig – krävs tre saker: att man har id-kortet, att man ser ut som fotot samt att man kan skriva namnteckningen likadant. Detta motsvaras av autentiseringen, och behandlas på sid 310 .

Att en användare är identifierad kan göra stor skillnad för vilka behörigheter hon får.

Först och främst så öppnar det möjligheter att göra saker som rör den verkliga personens liv via webben. Till exempel låta henne använda intranätet på företaget där hon är anställd, beställa saker som skall skickas till hemadressen eller ta ut pengar från sitt bankkonto.

Det öppnar också möjligheter att utkräva juridiskt ansvar, vilket till exempel kan vara viktigt på ett diskussionsforum där man vill få deltagarna att avhålla sig från ärekränkning.

Slutligen öppnar identifieringen möjligheter att dela in användarna i olika grupper och ge dem olika roller. En eller några av de anställda på ett företag kan till exempel ha rollen ”redaktör” och med denna få de behörigheter som behövs för att publicera sidor på webbplatsen.