Eliminazione automatica dell'account utente quando si utilizza OAuth2

2

Gli utenti di app Web possono eliminare i propri account, reinseriscono la password e, se adatta, l'account e le relative risorse vengono rimossi (eliminazione graduale).

Possono registrarsi utilizzando una e-mail (e una password) o usando Facebook (hellojs e passaporto).

L'auto cancellazione è semplice per gli utenti di posta elettronica e password registrati, per il resto non possiamo chiedere la loro password perché non abbiamo nulla da confrontare.

Quindi la domanda è; dovrebbero essere autorizzati a cancellare il loro account senza ulteriori misure di sicurezza? o c'è un modo per chiedere loro di inserire nuovamente il pass in FB e che FB mi dice che era ok?

Riguardo a questa domanda: ha alcuni aspetti di sicurezza che potrebbero renderlo adatto per security.stackexchange, e alcuni problemi di UX che potrebbero andare sull'altro sito specializzato, e controlli API che potrebbero appartenere a SO, sembra che appartenga qui , dal momento che non può essere sicuro al 100%, puoi migrare / modificare / chiudere / etc.

    
posta Felipe Pereira 25.04.2016 - 23:02
fonte

1 risposta

3

Se stai per offrire un'operazione irreversibile distruttiva come questa, forzare la riautenticazione suona come un'idea eccellente. Vedi link per come farlo con Facebook.

Detto questo, mi piacerebbe anche rendere la cancellazione recuperabile per qualche periodo. Alla fine incontrerai un caso in cui qualcuno ha la password di qualcun altro e l'ha cancellato per dispetto, e qualcun altro lo vuole indietro ...

    
risposta data 26.04.2016 - 01:30
fonte

Leggi altre domande sui tag