我的网站*可以安全*允许通过Facebook Connect,Google Friend Connect,OpenID,*和*等登录吗?
-
06-07-2019 - |
题
网站是否可以允许用户通过多种不同方式登录,例如Facebook Connect,OpenID等?
不是指同一用户的同时登录,而是想知道是否可能有多个“SSO”。选项。
具有凭证的用户的副作用是,例如,OpenID和Facebook同时登录,具有单独的会话信息,以及“游戏”等。或者欺骗“系统”或“系统”。不知何故?
这只是提供一个的主要原因吗?还有其他原因吗?
<强>更新强> 为了澄清一点,我应该说我们想使用Facebook Connect,但并非所有预期的用户都拥有Facebook帐户。与OpenID等相同。我们做需要将用户操作绑定到特定的本地“帐户”,这显然会与他们用于登录的任何身份验证提供程序同步(或者像以后那样搭配,但是想尽可能提供最方便。
也许我们应该在内部做?
解决方案
我建议跟踪一个帐户的所有各种形式的身份验证。当然,只有在用户这样做时才能这样做。但是这样看待它。没有什么能阻止人在自定义认证系统上设置多个帐户并执行相同的“游戏”。选择使用各种类似OpenID的帐户来做同样的事情!使用这些形式的身份验证以及自定义内部跟踪系统是一个很好的方法,并没有真正提出任何与内部登录系统不具备的安全性的新复杂性。它只会为您的用户增加更多便利因素(代价是为您编写更多代码......但情况并非如此?(:P))。
其他提示
我这样做的计划是让每个SSO提供商都能够从SSO帐户映射到本地用户ID。您将能够将多个SSO帐户分配给单个本地帐户。所有这些都隐藏在界面后面,可能使用命令链模式。
您应该查看使用 RPX 。他们为您处理所有这些并允许Facebook,OpenId,Windows Live Id等。结果对您来说是透明的 - 您只需获得一个不透明的标记来表示ID。