Devo abilitare l'accesso di Google Auth per impostazione predefinita per i miei utenti?

5

Ho implementato l'accesso di accesso Google (OAuth2) sul mio sito web. Corrisponde agli utenti via e-mail, ad esempio se la tua e-mail è la stessa in Google come nel nostro sistema e hai abilitato Google Auth sul mio sito web, hai effettuato l'accesso.

Devo abilitarlo per tutti per impostazione predefinita ? Voglio farlo sul presupposto che qualcuno controlli l'account Google, controllano l'account di posta elettronica associato e pertanto hanno già accesso all'account utente sul mio sito Web (poiché implemento la reimpostazione della password tramite e-mail).

Ci sono delle implicazioni sulla sicurezza di cui dovrei essere a conoscenza?

    
posta hmp 16.12.2015 - 17:34
fonte

1 risposta

2

oAuth non è un meccanismo di autenticazione . Gestisce l'autorizzazione per l'accesso alle risorse (solitamente un'API).

Da RFC 6749 :

The OAuth 2.0 authorization framework enables a third-party application to obtain limited access to an HTTP service, either on behalf of a resource owner by orchestrating an approval interaction between the resource owner and the HTTP service, or by allowing the third-party application to obtain access on its own behalf.

Tuttavia è anche usato da alcuni come un modo per autenticare gli utenti. Devi fidarti di quel servizio perché ha le chiavi per le tue risorse (invece di permetterti di accedere a le loro risorse, con l'accordo di loro utente - che è ciò che oAuth è per)

Wikipedia sottolinea le differenze tra oAuth e OpenID (che è un protocollo di autenticazione).

    
risposta data 17.12.2015 - 11:29
fonte

Leggi altre domande sui tag