Su StackExchange abbiamo la possibilità di scegliere di usare le nostre credenziali esistenti con provider OAuth esterni come Facebook o Google. Ciò è conveniente per gli utenti, ma presenta anche potenziali vantaggi (o svantaggi) in termini di sicurezza rispetto a un modello di autenticazione tradizionale in cui un utente crea un nome utente e una password specifici per il mio sito e il mio sito gestisce l'intero archivio utenti e il processo di autenticazione?
Grazie in anticipo
Dipende dalla tua situazione, ma la risposta breve è non reinventare la ruota se non è necessario.
Se puoi sfruttare OAuth / OpenID (StackOverflow), probabilmente dovresti. Questo può essere più per la sicurezza che per la sicurezza, i siti offriranno OpenID ma ti permettono di creare un login se non ne hai già uno (in modo da coprire tutte le basi). Devi determinare cosa è meglio dare al tuo pubblico.
Il vantaggio di sfruttare l'autenticazione di altri popoli (Facebook o G + in questo esempio) è che lasci che si preoccupino di autenticare correttamente i propri utenti.
Potresti provare a crearlo da solo, anche se dovrai assicurarti di farlo in modo sicuro. Il vantaggio di rotolare il tuo potrebbe essere il fatto che non sei così popolare e quindi potenzialmente non un obiettivo abbastanza interessante (anche se questo dipende dalla tua situazione e non è una tattica di sicurezza in sé). Se commetti degli errori da principiante, ti stai lasciando aperto a potenziali attacchi.
Ci sono naturalmente degli svantaggi nel fare leva sull'autenticazione di altri popoli. Ad esempio, qualcuno potrebbe aver regalato la sua password di Facebook ad un amico, che ora può accedere al nostro sito se si consente il login tramite FB. Ovviamente la stessa cosa potrebbe accadere con qualsiasi sistema di autenticazione, ma non hai il controllo dell'autenticazione FB / G +, quindi questo dipende dalla tua ricerca su come sarebbe adatto.
Leggi altre domande sui tag authentication oauth web-application