Che metodo comunemente accettato per implementare SSO utilizzando un provider OAuth di terze parti?
Ho un server con risorse utente associate all'ID utente del server, l'ID utente ha anche un ID utente Facebook associato. Sarebbe un buon approccio per autenticare un client sul server se il login fosse reindirizzato, per esempio, a Facebook, dove restituirebbe un token OAuth e il token sarà quindi condiviso con il client?
Supponiamo che SSL sia implementato, quindi il token OAuth agirà nello stesso modo di un cookie di sessione che autorizza le risorse utente sul server.
Lo stesso utente può quindi riautenticarlo con Facebook che restituirebbe lo stesso ID di Facebook, che dà accesso alle stesse risorse dell'utente e un diverso token OAuth che scade indipendentemente e rimuovendo l'app su Facebook è possibile richiamare il server con un richiesta di autenticazione per mantenere le cose sincronizzate.
Questa è una buona politica da usare? E 'sicuro contro attacchi come il sidejack di sessione, il cross site reference, ecc.