Devo creare un utente nel mio database?

0

Sto costruendo un'app Web, che utilizza un WebApi di back-end (che richiede utenti autorizzati). Il sistema memorizza semplicemente alcuni input dell'utente simile a un post su Facebook.

  1. Il front-end (angolare) consente solo l'autorizzazione social / esterna.
  2. Il mio backend può quindi utilizzare JWT Middleware per verificare che il loro JWT sia valido per ogni richiesta.
  3. Supponiamo che i miei ambiti siano impostati correttamente per ottenere sempre il reclamo via email.

Quindi la mia domanda è, ho anche bisogno di registrare l'utente ?! So che sembra pazzesco, ma da ora, non è giusto lasciare che l'utente crei post nel mio sistema e usare il loro indirizzo email come UserId? Mi manca qualcosa?

    
posta Worthy7 28.05.2018 - 03:51
fonte

1 risposta

1

Questa domanda può essere interpretata in molti modi diversi:

should my Database use a non-root user

Sì, dovresti creare un utente non root (uno per ogni app unica che accede al database per impedire che wordpress-db-user (esegua in qualche modo un exploit wordpress che verrà pubblicato in futuro) dall'avere accesso completo al tuo super-fancy-custom-web-apps-db e ottenere un elenco completo di tutte le email degli utenti che hai raccolto.

should I create a user's table in my databse

Autenticazione o no ... questo è un po 'un gioco da ragazzi. Se vuoi essere in grado di collegare [email protected] al suo alias preferito super happy fun guy ... o uno dei tuoi utenti decide che qmail fa schifo e vogliono cambiare lì account email a [email protected] ... una tabella utenti con un UUID interno per utente potrebbe essere molto utile.

do I need to store user-password-hashes for login

Sì e no ... riponendo piena fiducia in alcuni altri siti web l'autenticazione potrebbe farti risparmiare la preoccupazione di avere il tuo db locale violato e di dover segnalare che alcune migliaia di hash delle password dell'utente sono in circolazione. Ma allo stesso tempo, se si riscontra una vulnerabilità nell'autenticazione di questa terza parte, potrebbe benissimo lasciarti in una situazione peggiore, dal momento che non hai il controllo sulla terza parte che la applica e su cui non ricorrere se questa terza parte decide di addebitare per questo servizio di autenticazione o semplicemente interrompere tutto insieme.

Questa è più una decisione commerciale che una decisione di sicurezza ... ci sono molti pro e contro di andare in ogni direzione.

    
risposta data 28.05.2018 - 05:41
fonte

Leggi altre domande sui tag