我目前正在修复我的俱乐部大约一年前制作的一个旧项目,我看到他们使用Auth0进行用户身份验证,但也将mongodb中的用户名和散列密码存储在user文档中。user文档还具有管理员、经理或客户等角色,并使用这些角色来限制某些页面和资源。
我的问题是,我们存储散列密码以及用户名和角色有原因吗?我认为我们使用hashed pw的唯一时间是验证用户是否输入了有效的凭据。但是,如果我们必须使用Auth0进行身份验证,那么在数据库中存储散列pw有什么好处吗?
我想了解在使用auth0等第三方身份验证服务时存储散列pw的一般用例。
非常感谢!!
据我所知,让代码库变得灵活总是一个好主意,尤其是在重要项目中,尤其是当使用第三方技术时。这样做可以防止所谓的供应商锁定。基本上,如果出于某种原因,您想放弃使用Auth0,那么在数据库中已经有用户凭据将使团队和用户的迁移更加容易。除此之外,我认为在这种情况下没有必要储存它们。