Pode o meu site * segurança * permitir logins via Facebook Connect, Google Friend Connect, OpenID, * e * etc?
https://stackoverflow.com/questions/1034648
-
06-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
É possível para um site para permitir que os usuários façam login através de vários métodos diferentes, como o Facebook Connect, OpenID, etc?
Não se referindo a logins simultâneos do mesmo usuário, mas querendo saber se é possível ter várias opções "SSO".
Existe um efeito colateral de um usuário com credenciais em, digamos, OpenID e Facebook login como ambos, com informações de sessão em separado, e "jogos" ou enganar "o sistema" de alguma forma?
É essa a principal razão para a oferta de apenas um? Existem outras razões?
UPDATE: Em um esforço para esclarecer um pouco, devo dizer que nós gostaríamos de usar o Facebook Connect, mas nem todos os nossos usuários esperados ter uma conta no Facebook. O mesmo que com OpenID, etc. Nós do tem a necessidade de amarrar as ações do usuário a uma 'conta' local particular, que, obviamente, ser sincronizado com qualquer auth-provedor eles utilizados para efetuar login ( ou tie-in mais tarde, como com SO), mas gostaria de oferecer a maior comodidade possível.
Talvez nós devemos apenas fazer in-house?
Solução
Eu sugiro rastreamento de todas as várias formas de autenticação de uma conta. Concedido isso só pode ser feito se o usuário faz isso. Mas olhando por este caminho. Não há nada que impeça uma pessoa de criação de várias contas em um sistema de autenticação personalizada e realizando as mesmas "jogos" como escolher usar vários OpenID como contas para fazer a mesma coisa! Usando essas formas de autenticação juntamente com o costume em casa sistema de rastreamento é um bom caminho a percorrer e realmente não apresenta quaisquer novas complexidades a respeito de segurança que você não teria com apenas um em casa sistema de login. Ele simplesmente adiciona mais fatores de conveniência para seus usuários (à custa de mais de codificação para você ... mas não é sempre o caso (?: P)).
Outras dicas
Meus planos para fazer isso é fazer com que cada provedor de SSO ser capaz de mapear a partir da conta SSO a um ID de usuário local. Você vai ser capaz de atribuir várias contas de SSO para uma única conta local. Tudo isso está escondido ordenadamente atrás de uma interface, provavelmente usando o padrão Chain of-Command.
Você deve olhar para usando RPX . Eles lidar com tudo isso para você e permitir que o Facebook, o OpenID, o Windows Live ID, e muito mais. O resultado é transparente para você -. Você acabou de receber um token opaca para representar o ID
