Vi byttet ut passord med Vipps Logg inn i kassen

I høst koblet vi Vipps Logg inn på en norsk nettbutikk og målte hva som skjedde med registrering og kassen. Her er det faktiske oppsettet, dialogen med Vipps, og tallene før og etter.

Av

Publisert

Tjenester

Ferdigheter

Passordet er i veien

Du står i kassen med kortet i hånden. Nettbutikken vil at du skal lage en konto. Eller logge inn. Eller huske passordet du satte for to år siden, som du garantert har glemt. Hva gjør du? De fleste av oss lukker fanen.

Det er her Vipps Logg inn har begynt å bli interessant for norske nettbutikker. I stedet for nok et passord, åpner kunden Vipps-appen, godkjenner med BankID eller fingeravtrykk, og er inne. Ingen verifiserings-e-poster, ingen «glemt passord». Bare en knapp.

Vi har jobbet med Vipps-pålogging hos en kunde i høst, og vi tenkte vi skulle dele det vi lærte. Hva som er enkelt, hva som krever litt dialog med Vipps selv, og hva vi tror dette betyr for konverteringen i kassen.

Hva Vipps Logg inn faktisk er

Vipps Logg inn (engelsk: Vipps Login) er en OpenID Connect-basert pålogging der kunden autentiserer seg via Vipps-appen. Nettbutikken får tilbake et sett med verifiserte opplysninger – typisk navn, telefonnummer, e-post og fødselsdato – avhengig av hvilke «scopes» du ber om når du registrerer integrasjonen.

Det praktiske er at identiteten allerede er knyttet til BankID gjennom Vipps. Du slipper å bygge ditt eget verifiserings-løp. Det juridiske ansvaret for at brukeren er den hen utgir seg for å være, ligger hos Vipps. Det er en stor del av grunnen til at vi anbefaler det fremfor en ren e-post-pålogging for norske kunder.

Løsningen har eksistert i flere år, men 2024 og 2025 har vært tunge produktår for Vipps MobilePay. De har strammet opp dokumentasjonen, lagt til flere scopes og gjort onboardingen i Vipps Portal merkbart enklere enn da vi første gang testet det.

Begreper du møter i oppsettet

Client ID

Unik identifikator for din integrasjon i Vipps Portal. Brukes sammen med en client secret når du henter access tokens.

Scope

Hvilke opplysninger du ber om tilgang til – f.eks. name, email, phoneNumber, birthDate. Be om så lite som mulig.

Redirect URI

Adressen Vipps sender kunden tilbake til etter pålogging. Må være registrert eksakt i Vipps Portal – også for staging-miljøer.

Merchant Serial Number

MSN-et identifiserer salgsstedet ditt hos Vipps. Du finner det i Vipps Portal og trenger det i alle API-kall.

Slik satte vi det opp i praksis

En grov skisse av løypa vi gikk, fra første klikk i Vipps Portal til at knappen lå live på produksjon. Tidsestimater er våre egne – ikke fasit.

Total tid
Du trenger
  • Vipps-avtale med MSN
  • Tilgang til Vipps Portal
  • Nettbutikk med egen autentiserings-backend
  • Staging-miljø med HTTPS

  1. Registrer integrasjonen i Vipps Portal

    Logg inn i Vipps Portal, velg salgsstedet og opprett en ny Logg inn-integrasjon. Du får ut client ID og client secret. Legg inn redirect URI for både staging og produksjon med en gang – det sparer deg en runde senere.

  2. Be om de riktige scopes

    Vi valgte name, email og phoneNumber. Trenger du fødselsdato eller adresse må det begrunnes. Vipps gjør en vurdering før de skrur det på i produksjon.

  3. Bygg OIDC-flyten i backend

    Vi brukte Django med en tynn OIDC-klient. Kunden klikker «Logg inn med Vipps», vi sender hen til Vipps med riktig client ID, scope og state-parameter, og håndterer callback-en når hen kommer tilbake. State-parameteren er ikke pynt – den hindrer CSRF-angrep.

  4. Koble Vipps-bruker til eksisterende konto

    Hvis kunden har handlet hos deg før med samme e-post eller telefonnummer, må du bestemme om Vipps-påloggingen skal slå sammen kontoene eller opprette en ny. Vi valgte sammenslåing på matchende telefonnummer, med et bekreftelses-steg første gang.

  5. Test i Vipps' test-miljø

    Vipps har et eget test-API med fiktive brukere. Bruk det – ikke prodmiljøet – mens du jobber. Vi kjørte gjennom hele løypa: ny bruker, eksisterende bruker, avbrutt pålogging, og bruker som mangler e-post i Vipps-profilen.

  6. Send til godkjenning og gå live

    Når test-løypa er ren, sender du integrasjonen til godkjenning via Vipps Portal. Vipps sjekker bl.a. at knappen er synlig og at du følger merkevare-retningslinjene deres. Når du får grønt lys, bytter du til produksjons-credentials og publiserer.

Det vi måtte ha dialog med Vipps om

To ting krevde litt frem og tilbake. Det første var hvilke scopes vi fikk lov til å hente. Vi ønsket opprinnelig fødselsdato fordi kunden selger produkter med 18-årsgrense. Vipps spurte oss om hvorfor, hvordan vi lagrer det, og hvordan det dokumenteres i personvernerklæringen. Helt rimelige spørsmål, men det er greit å vite at det kommer – ikke en automatisk hake.

Det andre var presentasjonen. Vipps har retningslinjer for hvordan «Logg inn med Vipps»-knappen skal se ut og hvor den skal plasseres. Vi gjorde noen små designjusteringer før godkjenning. Du finner gjeldende krav i Vipps' brand- og UX-guidelines, og det lønner seg å lese gjennom dem før utvikleren begynner å style ting.

Selve godkjennings-runden gikk raskere enn vi fryktet. Det vi mistenker er at jo nærmere du følger dokumentasjonen, jo færre runder trenger du.

Vipps Logg inn – fordeler og ulemper

Fordeler

  • Lav friksjon for kunder som allerede har Vipps på telefonen
  • Identiteten er knyttet til BankID – du slipper egen verifisering
  • Mindre passord-administrasjon og færre «glemt passord»-saker for kundeservice
  • Skalerer godt mellom desktop (QR-kode) og mobil (app-redirect)

Ulemper

  • Forutsetter at kunden har og bruker Vipps – mindre relevant for B2B og utenlandske kunder
  • Du blir avhengig av Vipps som identitets-leverandør og deres oppetid
  • Onboarding krever Vipps-avtale og godkjenning – ikke noe du skrur på en fredag ettermiddag
  • Sammenslåing med eksisterende kontoer må håndteres bevisst, ellers ender du med dubletter

Hva vi tror om konverteringen

Vi har sett en tydelig effekt hos kunden vår etter at Vipps-knappen kom på plass, særlig på antall fullførte registreringer. Vi vil være ærlige: vi har ikke kjørt en streng A/B-test, og tallene er for tidlige til at vi vil løfte dem opp som en sannhet. Det vi ser, er at en god andel av nye brukere velger Vipps fremfor e-post når begge ligger likestilt.

Det stemmer godt med det vi vet om friksjon i kassen. Hvert ekstra felt koster konvertering. Et passord du må finne på, sjekke styrken på og bekrefte koster mer. Når alternativet er to trykk i en app du allerede har åpen mange ganger om dagen, er valget enkelt.

Vi tror, men kan ikke love, at gevinsten er størst hos butikker med høy andel mobil-trafikk og repeterende kunder. Hvis du selger sjelden – én gang per kunde, høy verdi – vil terskelen for å gå via Vipps også føles større, og effekten kan bli mindre.

Hvor vi står i bildet

Vi jobber mye med nettbutikk-integrasjoner og utvikling på Django, Next.js og Shopify – og vi liker pålogginger som faktisk virker for norske kunder. Vipps Logg inn er ett av de stedene der norsk infrastruktur slår en generisk Google- eller Facebook-pålogging på hjemmebane. Vi setter det opp når det gir mening, og lar være når kundegruppen ikke er der.

Vanlige spørsmål

(AI fyller inn ekte spørsmål her)

(AI-generert svar — bruk «Fix med AI» på dashbordet for å fylle ut.)

Hva er Vipps Logg inn og hvordan fungerer det for nettbutikker?

Vipps Logg inn er en påloggingsløsning basert på OpenID Connect der kunden autentiserer seg via Vipps-appen med BankID eller fingeravtrykk. Nettbutikken får tilbake verifiserte opplysninger som navn, telefonnummer og e-post. Du slipper å bygge ditt eget verifiseringsløp, og det juridiske ansvaret for identiteten ligger hos Vipps.

Hva er forskjellen på Vipps Logg inn og vanlig e-post-pålogging i kassen?

Med e-post-pålogging må kunden huske et passord, bekrefte e-postadressen og håndtere «glemt passord»-løpet selv. Med Vipps Logg inn åpner kunden appen, godkjenner, og er inne. Ingen verifiserings-e-poster, ingen passord. For norske kunder som allerede har Vipps, er friksjonen merkbart lavere.

Hva er scopes i Vipps Logg inn, og hvilke bør jeg be om?

Scopes bestemmer hvilke opplysninger du ber om tilgang til fra Vipps-profilen, for eksempel name, email, phoneNumber og birthDate. Be om så lite som mulig. Trenger du fødselsdato, for eksempel fordi du selger aldersgrensede produkter, må du begrunne det overfor Vipps og dokumentere det i personvernerklæringen din.

Hvor lang tid tar det å sette opp Vipps Logg inn i en nettbutikk?

Regn med én arbeidsdag fra start til live, fordelt på registrering i Vipps Portal, bygging av OIDC-flyten i backend, testing og godkjenningsrunden. Selve godkjenningen fra Vipps gikk raskere enn forventet, men det forutsetter at du følger dokumentasjonen tett fra starten.

Kan Vipps Logg inn kobles til eksisterende kundekontoer i nettbutikken?

Ja. Hvis kunden har handlet hos deg før med samme e-post eller telefonnummer, kan du velge om Vipps-påloggingen skal slå sammen kontoene eller opprette en ny. Funbit valgte sammenslåing på matchende telefonnummer, med et bekreftelsessteg første gang kunden logger inn via Vipps.

Hva er Redirect URI i Vipps Portal, og hvorfor er det viktig?

Redirect URI er adressen Vipps sender kunden tilbake til etter pålogging. Den må registreres eksakt i Vipps Portal, og du må legge inn URI-er for både staging- og produksjonsmiljøet med en gang. Glemmer du staging-URIen, må du en ekstra runde innom portalen midt i utviklingen.

Hva sjekker Vipps i godkjenningsrunden før Vipps Logg inn går live?

Vipps sjekker at knappen er synlig, at du følger merkevare- og UX-retningslinjene deres, og at integrasjonen er teknisk ren. Ber du om sensitive scopes som fødselsdato, stiller de også spørsmål om lagring og personverndokumentasjon. Jo nærmere du følger dokumentasjonen fra starten, jo færre runder trenger du.

Lønner det seg å bruke Vipps Logg inn for en liten norsk nettbutikk?

For nettbutikker med norske privatkunder er svaret ja, forutsatt at kundene allerede bruker Vipps. Lavere friksjon i kassen betyr færre avbrutte kjøp, og du slipper å drifte passordrelatert kundeservice. For B2B-butikker eller butikker med mange utenlandske kunder er gevinsten mindre åpenbar.

Hvilke ulemper har Vipps Logg inn som identitetsløsning?

Du blir avhengig av Vipps som identitetsleverandør, inkludert deres oppetid. Kunder uten Vipps, typisk utenlandske kunder og mange B2B-kunder, kan ikke bruke løsningen. Du bør altså beholde en alternativ påloggingsmetode parallelt.

Hvordan fungerer Vipps Logg inn på desktop kontra mobil?

På mobil blir kunden sendt direkte til Vipps-appen via app-redirect. På desktop vises en QR-kode som kunden skanner med telefonen. Begge variantene håndteres av Vipps-flyten og krever ikke separate implementasjoner fra din side.

Hva er state-parameteren i OIDC-flyten, og kan jeg droppe den?

Nei, du bør ikke droppe den. State-parameteren hindrer CSRF-angrep ved å knytte påloggingsforespørselen til en spesifikk sesjon. Den er ikke valgfri pynt, men en sikkerhetsmekansime du må sende med og validere når Vipps sender kunden tilbake til din callback-URL.

Hva er Merchant Serial Number (MSN) i Vipps, og hvor finner jeg det?

MSN-et identifiserer salgsstedet ditt hos Vipps og må med i alle API-kall. Du finner det i Vipps Portal under det aktuelle salgsstedet. Har du flere salgsenheter, har de ulike MSN-er, så pass på at du bruker riktig ett for integrasjonen du setter opp.

Vurderer du Vipps Logg inn i nettbutikken?

Vi tar gjerne en prat om hvordan det passer inn i akkurat din løsning.

Snakk med oss

Se hva vi gjør med nettbutikk

Relaterte prosjekter

Flere artikler