使用OAuth时,我们正在使用第三方来照顾用户的身份验证。
例如。使用Facebook时,我们将在Facebook"注册"我们的应用程序以及应用程序的用户试图登录而不是向应用程序提供他的凭据他使用Facebook帐户时登录的凭据。
我不明白的是,该应用程序为什么信任用户?所有应用都知道,当用户在那里拥有一个帐户时,用户是从Facebook信任的。我们如何相信用户应该真正访问应用程序?
在这种情况下,您正在为IS 提供服务的"用户"> Facebook/google/instagram/等。帐户。从您的角度来看,您不在乎谁输入证书的人是。
通常,您只知道登录您的应用程序的人知道该帐户的用户名和密码。在外部验证案例中,您知道该人对FB/Google/Inst的特定登录名,并且知道与之关联的密码。
请记住,在大多数情况下(本地或外部验证),您不知道与帐户相关的人(除非您有某种个人验证方法,例如信用卡或发送传统信件带有一些身份)。您所知道的是,登录的人知道凭证。
从技术上讲,每个帐户(FB,Google,Inst)都是一个单独的"用户",您的本地凭据登录是不同的。
整个概念实际上是关于用户便利的,以及一些其他好处,例如让用户数据由其他人存储和维护,额外的安全性等等。
也就是说,如果您坚持使用"本地"凭据方法,请确保它是安全的: - )
编辑:
一个简单的示例:
您的应用程序具有两个登录选项 - 一个简单的登录名,使用密码,并使用Google登录。您还有一个用户,约翰·史密斯(John Smith)。
John打开您的应用程序,该应用需要登录并具有与每个帐户相关的一些敏感数据。
方案1 。约翰选择标准,"本地"登录选项,并使用其凭据约翰史密斯1111和密码12345进行登录。
方案2 。约翰选择与Google登录。他被重定向到登录页面,在那里进行身份验证并返回您的应用程序。通知您的应用程序,用户Google_john_smith已成功身份验证。约翰现在能够显示与帐户相关的数据Google_john_smith。
关键是使用这些登录选项验证的帐户不是相同的!这里没有"信任"问题。