对于使用Google或Facebook帐户注册的用户,在我的应用程序中删除帐户的安全方法是什么?
对于使用Google或Facebook帐户注册的用户,在我的应用程序中删除帐户的安全方法是什么?
提问于 2019-08-09 23:31:46
在我的应用程序中,用户可以通过3种不同的方式注册:
-Using他们的邮箱和密码
-Using他们的谷歌账号
-Using他们的脸书账号
当用户想要删除我的应用程序中的帐户时,我要求使用他们的电子邮件和密码向注册的用户提供他们的密码,以便提供更好的安全性,以便发现我的应用程序在共享计算机中打开时,如果他不知道用户的密码,则无法删除该帐户。
我想知道当使用Google/Facebook帐户注册的用户想要删除他的帐户时,应该遵循的安全方法是什么。
OWASP有关于这方面的指南吗?
向该用户发送一个包含一个小时内有效令牌的链接是否安全(就像我们为一个忘记密码并想要登录时使用其电子邮件和密码注册的用户重置密码所做的那样)?
回答 1
Stack Overflow用户
发布于 2019-08-10 01:06:49
您似乎关心恶意攻击者控制用户的Google或FB帐户的攻击场景。在这种情况下和攻击者知道直接向你注册的用户的电子邮件/密码的情况下,在你的应用程序中“删除”功能的攻击面和安全姿态没有区别。攻击者接管Google或FB帐户的概率比接管普通web应用程序上的用户帐户的概率要低得多。(你的web应用程序可能是超级安全的,但远高于average..or )。
我们会说,你的优先级应该颠倒--对直接注册到你的用户进行更彻底的删除确认是一个更好的主意。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/57433214
复制相关文章
相似问题
腾讯云开发者
