如何在我的网站中处理社交登录流-有问题的流程和最佳实践
如何在我的网站中处理社交登录流-有问题的流程和最佳实践
提问于 2020-06-19 01:09:46
所以我在网上读了很多关于社交登录的文章。有问题的流程是:
1)用户使用常规邮件注册
2)用户登录社交网站(Facebook、Google等)我该怎么办?
如果社交电子邮件与原始电子邮件不同,对我来说,这是一个不同的帐户。但是,如果电子邮件是相同的,我就表现得像它是同一个用户。
问题是以下场景:
1)用户使用常规电子邮件注册
2)攻击者使用用户邮箱注册到社交网站(无需邮件验证)
3)攻击者可以以用户身份登录我的系统。
所以这里的问题是,有没有主要的社交网站(facebook,google,...)允许社交登录到其他站点,而无需验证用户电子邮件?
你认为如何?谢谢!
回答 1
Stack Overflow用户
发布于 2020-06-26 21:54:19
大多数网站实际上只是将社交雪花值映射到用户ids。例如,流应该是这样的:
以下是用户使用电子邮件注册的流程
- 用户使用常规电子邮件注册
- 用户现在可以将其社交帐户链接到常规帐户以使用社交帐户登录(电子邮件无需登录
以下是用户在社交网站上注册的流程
- 用户向社交
- 注册使用社交功能自动填充普通帐户字段
- 要求提供所需的任何其他字段(如果需要社交登录,请将密码保留为空)
- 将社交雪花值链接到现有帐户。
如果您需要任何澄清,请提问,但我已尽力解释:)
据我目前所知,对于你提到的有问题的流程,目前被认为是“安全”的提供商将是谷歌和微软(包括Azure AD)。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/62455555
复制相关文章
相似问题
腾讯云开发者
